19.07.2014 Доброслав

У нас вы можете скачать книгу Введение в защиту информации в автоматизированных системах А. А. Малюк, С. В. Пазизин, Н. С. Погожин в fb2, txt, PDF, EPUB, doc, rtf, jar, djvu, lrf!

Инцидент - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности , имеющих значительную вероятность компрометации бизнес - операции и создания угрозы. Событием информационной безопасности является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности организации банковской системы Российской Федерации: Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами например, пожар или наводнение , либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

Источник угроз - субъект, материальный объект или физическое явление, создающее угрозу безопасности информации. Для источников угроз — людей — разрабатывается модель нарушителя. В модели нарушителя конкретизируются субъекты, их средства, знания и опыт, с помощью которых они могут реализовать угрозы и нанести ущерб объектам, а также мотивации их действий. Частным видом нарушителя является злоумышленник. Злоумышленник — основной субъект угроз, источник противоборства с собственником в борьбе за активы и доходы.

Уязвимость - недостатки или слабые места активов, которые могут быть использованы угрозой. Наличие уязвимости без присутствия угрозы не причиняет ущерба, но все уязвимости должны контролироваться на предмет изменения ситуации. Также и угрозы, не имеющие соответствующих уязвимостей, не приводят к ущербу, но должны учитываться. Ущерб — физическое повреждение или другой вред здоровью людей, имуществу активам или окружающей среде.

Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание. К тому же упоминается не просто риск, а недопустимый риск. На этом понятие остановимся подробнее. Риск — сочетание вероятности события и его последствий. Вероятность здесь не математическое понятие и число между 0 и 1, а возможность или частота события. Не вдаваясь здесь в подробное описание всех перечисленных рисков, приведем определение некоторых из важнейших.

Информационный риск ИТ - риск — это опасность возникновения убытков или ущерба в результате применения информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи М.

С информационным риском наиболее связаны операционный риск и риск информационной безопасности. Операционный риск - риск убытков, связанных с неадекватными либо неудачными внутренними процессами, действиями персонала или систем, а также в связи с внешними событиями. Операционный риск включает в себя юридический риск, но не включает стратегический и репутационный риск.

This definition includes legal risk. Операционный риск определяется как риск прямых или косвенных потерь от неадекватных или имеющих недостатки внутренних процессов, людей и систем или от внешних событий. Менеджмент риска risk management: Скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникация риска. Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

Далее вопросу менеджмента или управления рисками будет уделено внимание в отдельном курсе. Там будет нужна целая терминосистема по рискам. Оценка риска risk assessment: Там же используется понятие. Оценивание риска risk evaluation: Процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска. Это еще один из примеров трудности перевода. Обработка риска risk treatment: Процесс выбора и осуществления мер по модификации риска. После обработки рисков могут оставаться остаточные риски.

Или, по другому, защитная мера safeguard: Базовые защитные меры baseline controls: Они соответствуют базовому уровню безопасности Baseline Security — обязательный минимальный уровень защищенности для информационных систем. Контрмеры базового уровня служат для защиты от стандартного набора наиболее распространенных угроз вирусы, сбои оборудования, не санкционируемый доступ и т. В целом средства контроля могут обеспечивать один или несколько из следующих видов защиты: Защитные меры имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер на верхнем уровне.

В свою очередь, организационные меры включают законодательные, административные и процедурные меры защиты. Она включает силы и средства обеспечения безопасности, которые действуют и используются на основе разработанных заранее и закрепленных некоторым формальным образом принципов и правил в виде нормативно-правовых актов, ведомственных инструкций, положений и т.

Можно говорить, что сущность функционирования системы безопасности заключается в выявлении, прогнозировании, предотвращении, нейтрализации, пресечении, локализации, устранении, отражении и уничтожении угроз защищаемому объекту, а также формировании условий, благоприятствующих деятельности данного объекта, достижения им своих целей, защиты его интересов.

Осуществление комплекса оперативных и долговременных мер по предупреждению и нейтрализации внутренних и внешних угроз. Управление силами и средствами обеспечения безопасности в нормальных повседневных условиях и при возникновении чрезвычайных ситуаций. Осуществление системы мер по нормальному функционированию объектов безопасности после возникновения чрезвычайных ситуаций.

Участие в мероприятиях по обеспечению безопасности за пределами своего объекта в соответствии с договоренностями соглашениями внутри корпорации или объединения фирм предприятий.

В последнее время все чаще в обиход входит понятие система комплексной безопасности [Тихонов, Райх, Информ безоп, ]. Под этим термином понимается совокупность организационных мероприятий и действий подразделений охраны и служб безопасности организаций и автоматизированных систем по защите информации, направленных на обеспечение установленного режима, порядка и правил поведения, предотвращение, обнаружение и ликвидацию угроз жизни, среде обитания, имуществу и информации, а также поддержание работоспособности технических средств и систем на охраняемом объекте с целью ограничения или предотвращения действий нарушителя для осуществления опасных несанкционированных операций на объекте, приводящих к частичному или полному нарушению функционирования данного объекта.

В Доктрине информационной безопасности РФ от года, это определение приспособлено и уточнено для России. Этот список можно продолжать. Приведем здесь только одно из определений. Информационная безопасность автоматизированных систем АС — область науки и техники, охватывающая совокупность программно-аппаратных, криптографических, технических и организационно-правовых методов и средств обеспечения безопасности информации в автоматизированных системах при ее обработке, хранении и передаче с использованием современных информационных технологий Погорелов Б.

Обращает на себя внимание другая классификация мер защиты, выделение криптографических методов и средств. Многие вариации определений информационной безопасности были основаны на определении из британского стандарта BS , вышедшего в году, где сказано, что информационная безопасность — защищенность ресурсов информационной системы от факторов, представляющих угрозу для конфиденциальности, целостности и доступности.

Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. Или проще, Доступность — это возможность за приемлемое время получить требуемую информационную услугу. Свойство сохранения правильности и полноты активов. Или Целостность — это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. Есть и другие аспекты безопасности. К тому же приведенные аспекты конфиденциальности, целостности и доступности в разных системах имеют разный вес.

Информационная безопасность information security: Подотчетность учетность, отслеживаемость accountability: Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Примечание — Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации. Свойство соответствия предусмотренному поведению и результатам. Исторически к конфиденциальности было больше внимания. Приведем некоторые из них, которым посвящены отдельные законы Российской Федерации в силу их важности. Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В этом определении не уточняется, какие свойства сведений защищаются. Коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части.

Кроме того, по своему содержанию информационная безопасность включает:. Приведем здесь определение компьютерной безопасности из словаря Парфенова В. Радио и связь, Компьютерная безопасность - свойство компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации данных от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения вредоносных программ, нарушения правил эксплуатации, несанкционированной модификации программ и т.

Помимо системы обеспечения информационной безопасности важна система менеджмента информационной безопасности. Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации. На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.

На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления защитных мер , регламентов, процессов и процедур СМИБ организации. На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.

На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

Деятельность организации, направленной на цели бизнеса, можно представить в виде совокупности трех групп высокоуровневых процессов:. По определению система менеджмента ИБ СМИБ , предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ, является частью общей системы менеджмента организации BS Построенный на основе методологии IDEF0 рис.

Кроме того, для управления и обеспечения деятельности в этой области необходимы законы, нормативные документы, стандарты, относящиеся конкретно к этой проблеме, интеграция в общую систему менеджмента организации, а также ресурсы финансовые, материальные, информационные , люди и оборудование.

В модели явно не представлена еще одна важнейшая деятельность — деятельность по менеджменту управлению организацией. Косвенно она представлена как управляющий сигнал на основную деятельность.

Модель интеграции информационной безопасности в основную деятельность организации. Важнейшими исходными данными для эффективной деятельности служб ИБ являются информационные модели основной деятельности организации описания бизнес-процессов, реализуемых технологий и т. Данные модели определяют контекст и акценты внимания деятельности служб ИБ, так как они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимости для потенциальных злоумышленников и какие защитные меры могут потребоваться и какие из них могут быть наиболее эффективными.

Механизмы обеспечения ИБ, являющиеся результатом деятельности и процессов по ее обеспечению в организации, выступающие в качестве ресурсного обеспечения для основной деятельности организации, эксплуатируются службами ИБ, а в отдельных случаях и основными функциональными подразделениями организации. Информация контроля результатов применения и функционирования механизмов защитных мер поступает для анализа в службу информационной организации.

Политика безопасности организации — одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон. Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью.

Политика должна содержать следующие положения:. Такая политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации.

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения её непрерывной стабильности, адекватности и эффективности.

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

В стандарте Банка России понятие политики ИБ банковской системы приводится похожее на предыдущие определение. Политика информационной безопасности организации банковской системы Российской Федерации: Завершает раздел исходная концептуальная схема парадигма обеспечения информационной безопасности , которая обсуждается в работе [Курило и др]. Суть парадигмы ИБ — противоборство собственника и злоумышленника за права на информационные активы в целях последующего извлечения дохода.

На самом деле, цели злоумышленника могут быть и другие. Поэтому это понятие трактуется и конкретизируется в стандарте Банка России следующим образом. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

Под национальной безопасностью РФ понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в РФ. Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в различных сферах жизнедеятельности: Жизненно важные интересы - это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства [БЛ].

Национальные интересы носят долгосрочный характер. В области внутренней и внешней политики государства этими интересами определяются:. Национальные интересы обеспечиваются институтами государственной власти , осуществляющими свои функции, в том числе во взаимодействии с действующими на основе Конституции РФ и законодательства РФ общественными организациями.

Интересы личности состоят в реализации конституционных прав и свобод [БЛ], в обеспечении личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии человека и гражданина.

Интересы общества состоят в упрочении демократии, в создании правового, социального государства, в достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии равноправного и взаимовыгодного международного сотрудничества.

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных теле- коммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Важнейшими составляющими национальных интересов России являются защита личности, общества и государства от терроризма, в том числе международного, а также от чрезвычайных ситуаций природного и техногенного характера и их последствий, а в военное время - от опасностей, возникающих при ведении военных действий или вследствие этих действий.

Уязвимостями для национальной безопасности страны являются - состояние отечественной экономики, несовершенство системы организации государственной власти и гражданского общества, социально-политическая поляризация российского общества, наличие организованной преступности и терроризма, обострение межнациональных и осложнение международных отношений и другие.

Усиливаются угрозы национальной безопасности РФ в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Обеспечение национальной безопасности РФ во многом определяется состоянием информационной безопасности. Основу системы обеспечения национальной безопасности РФ составляют органы, силы и средства обеспечения национальной безопасности, осуществляющие меры политического, правового, организационного, экономического, военного и иного характера, направленные на обеспечение безопасности личности, общества и государства.

Полномочия органов и сил обеспечения национальной безопасности РФ, их состав, принципы и порядок действий определяются соответствующими законодательными актами РФ. Условно можно выделить следующие составляющие национальной безопасности: Содержание каждой из перечисленных составляющих отражено в соответствующих нормативных правовых актах.

Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства. Компьютеры управляют космическими кораблями и самолетами, контролируют работу атомных электростанций, распределяют электроэнергию и обслуживают банковские системы.

Компьютеры являются основой множества автоматизированных систем обработки информации АСОИ , осуществляющих хранение и обработку информации, предоставление ее потребителям, реализуя тем самым современные информационные технологии.

По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей. Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены такими причинами, как:. Современный этап развития общества характеризуется возрастающей ролью информационной сферы. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений [Доктрина ИБ РФ, ].

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать [Доктрина ИБ РФ, ]. Напомним, что под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [Доктрина ИБ РФ, ].

Доктрина информационной безопасности РФ дает две классификации национальных интересов в информационной сфере:. В соответствии с первой классификацией национальные интересы -это совокупность интересов личности, интересов общества и интересов государства.

Хотя в Доктрине и приведены эти внутренние источники, но фактически они являются не источниками, а уязвимостями. Все зависит от понимания этих понятий. Общая структура государственной системы обеспечения информационной безопасности Российской Федерации. Рассмотрим структуру государственной системы информационной безопасности и основные функции ее составных частей.

Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей Государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральная служба по техническому и экспортному контролю ФСТЭК России. ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по следующим вопросам в области обеспечения информационной безопасности:.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями. ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.

Обеспечение информационной безопасности является одним из основных направлений деятельности органов Федеральной службы безопасности ФСБ России. Служба внешней разведки РФ для осуществления своей деятельности может при собственных лицензировании и сертификации приобретать, разрабатывать за исключением криптографических средств защиты , создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.

Министерство обороны Минобороны России организует деятельность по обеспечению информационной безопасности, защите государственной тайны в Вооруженных силах, а также в установленном порядке в пределах своей компетенции работы по сертификации средств защиты информации. Другие органы государственного управления министерства, ведомства в пределах своей компетенции:. Для осуществления указанных функций в составе органов государственного управления функционируют научно-технические подразделения центры защиты информации и контроля.

На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.

Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.

Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработка реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.

Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

Разработка критериев и методов оценки эффективности систем и средств информационной безопасности. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.

Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.

Большую работу для обеспечения информационной безопасности кредитно-финансовой сферы РФ проводит Центральный Банк. Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности РФ являются [Доктрина]:. Информация в жизни современного общества играет значительную роль. Современные информационные технологии проникли практически во все сферы общественных отношений.

Это привело к необходимости создания правовых норм, регулирующих область информационных отношений. Такие нормы необходимы в силу того, что информация обладает рядом специфических свойств, которые принципиально отличают ее от других объектов права.

Украсть информацию можно, не проникая в помещение, в котором она хранится, и, к тому же, информация после похищения, как правило, остается в распоряжении владельца в неизменном виде. Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, руководителей, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к техническим средствам и информации.

Целью законодательных мер по защите информации являются предупреждение и сдерживание потенциальных нарушителей. Для уяснения правовой сущности различных документов, с помощью которых осуществляется регулирование отношений, связанных с обеспечением информационной безопасности, рассмотрим общеправовые понятия, прежде всего понятие нормативности , производными от которого являются понятия правовой нормы , нормативного правового акта , нормативного документа.

Всякий акт документ , принятый уполномоченным законом органом или лицом в пределах своей компетенции, является правовым, поскольку он регулирует соответствующие отношения. Правовые акты могут быть обязательными для неопределенного круга лиц, иметь персональный или рекомендательный характер. Акты обязательные именуются нормативными правовыми актами , все другие ненормативными правовыми актами. Географические границы действия нормативных правовых актов определяются статусом принимающего их органа или должностного лица федеральный, субъекта Российской Федерации, муниципальный.

Нормативные правовые акты, принимаемые организациями, именуются локальными. В законодательстве отсутствует определение понятия нормативного правового акта. Основные признаки нормативного правового акта даются в теории права, документах органов власти. Под правовой нормой понимается общеобязательное правило поведения, установленное уполномоченным государственным органом и предназначенное для неоднократного применения.

Приведенное определение повторено в п. В отличие от нормативного правового акта акт, устанавливающий, изменяющий или отменяющий права и обязанности конкретных лиц, именуется правовым актом индивидуального характера , или ненормативным правовым актом. К таким актам относятся, в частности, документы, используемые в правоприменительной деятельности.

Таким образом, нормативными правовым актами являются соответствующие законы Российской Федерации и субъектов Российской Федерации, указы Президента Российской Федерации, постановления Правительства Российской Федерации, акты федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, муниципальных органов, руководящих органов организаций.

Исключение из данного правила установлено в ст. С учетом сказанного информацию в правовой системе по ее роли можно разделить на правовую и неправовую, как показано на рис.

Ненормативная правовая информация создается, как правило, в порядке правоприменительной и правоохранительной деятельности.

С помощью такой информации реализуются предписания правовых норм. Эта информация создается в объекте управления и движется в контуре обратной связи системы правового управления. В соответствии с Конституцией России международные документы, подписанные от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня.

Документы, не подписанные от имени России, могут использоваться, если они не противоречат законодательству страны. Обобщенная схема нормативно-справочного обеспечения информационной безопасности ИБ информационных технологий. Закон — это нормативно- правовой акт, принимаемый высшим представительным органом государственной власти в особом законодательном порядке, обладающий высшей юридической силой и регулирующий наиболее важные общественные отношения с точки зрения интересов и потребностей населения страны.

Подзаконные нормативно-правовые акты — это правотворческие акты компетентных органов, которые основаны на законе и не противоречат ему. По своему содержанию подзаконные акты, как правило, являются актами различных органов исполнительной власти. По субъектам издания и кругу распространения они подразделяются на общие, местные, ведомственные и внутриорганизационные акты. Классификация автоматизированных систем и требования по защите информации разное Руководящий документ "Автоматизированные системы.

Классификация автоматизированных систем и требования по защите информации" Москва, Содержание: Теоретические основы компьютерной безопасности разное Издательство Радио И Связь, , стр. В книге изложены основы теории компьютерной безопасности, объединяющие широкий спектр проблем защиты информации в процессе ее преобразования, хранения и передачи в автоматизированных системах обработки данных.

Приводится описание основных моделей систем защиты и наиболее существенны Защита информации в телекоммуникационных системах разное Конахович Г. Защита информации в телекоммуникационных системах. ISBN В книге рассмотрены основные проблемы защиты информации, возникающие в ведомственных системах связи и передачи данных, радиотехнических системах и система Концептуальные и методологические основы защиты информации разное Учеб.

Введение в защиту информации в автоматизированных системах — М.: Учебное пособие для вузов, М.: Горячая линия — Телеком, Информационная безопасность компьютерных систем и сетей: Все книги написаны известными специалистами в области информационной безопасности и во многом основаны на передовом зарубежном и отечественном опыте. Однако, даже за прошедшее время с момента выхода книг, произошли существенные изменения в данной области, например, вышли новые стандарты и рекомендации по вопросам информационной безопасности и новым технологиям, приняты новые законы и другие акты.

В связи с этим должно быть переработано и дополнено содержание всех этих книг и курса на их основе. По-видимому, в последующем также надо будет учесть и процесс гармонизации международных и отечественных стандартов, особенности новых отраслевых стандартов.

В настоящее время приобрело популярность получение международных сертификатов путем сдачи соответствующих квалификационных экзаменов. Содержание курса должно учитывать требования и соответствующие разделы программ этих экзаменов, чтобы в последующем позволить студентам сдать данные экзамены без больших дополнительных усилий.

Отличительной особенностью данного курса должно является привлечение банковской тематики для демонстрации основных понятий и положений информационной безопасности. В настоящее время в России идет процесс формирования системы требований информационной безопасности для организаций банковской системы, созданы несколько стандартов, система сертификации, методика проверки требований. Конечно, при этом использовался зарубежный опыт, но отечественные разработчики и специалисты по информационной безопасности внесли много нового в этот процесс.

В целях замкнутости изложения напомним некоторые сведения, которые будут использоваться далее. Заметим, что и в нормативных правовых актах чаще всего данное понятие употребляется именно в этом смысле. Толковый словарь русского языка. Информация первична и содержательна - это категория, поэтому в категориальный аппарат науки она вводится описанием, через близкие категории: С информацией связаны понятия — знание, данные, сигналы, сообщения, смысл, семантика.

Не следует путать категорию информация с понятием знание. Знание определяется через категорию информация. В материальном мире человека информация материализуется через свой носитель и благодаря ему существует. Сущность материального мира предстаёт перед исследователем в единстве формы и содержания. Передаётся информация через носитель.

Материальный носитель придаёт информации форму. В процессе формообразования производится смена носителя информации. Чтобы зафиксировать термин для дальнейшего обращения с ним воспользуемся Федеральным законом Российской Федерации от 27 июля г. Интересно отметить, что в отмененном Законе от г. Как видим, старое определение хуже, перечисление страдает существенной неполнотой.

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети. В качестве комментария можно заметить, что это только часть возможных требований или свойств, которые возможны. По-видимому, решили убрать ограничение, связанное с документированностью информации. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

Кроме того, по закону, информация в зависимости от порядка предоставления или распространения подразделяется на информацию: Защиту информации иногда путают с информационной безопасностью. Это определение, конечно, требует комментария и сравнения с другими определениями из других документов. Забегая вперед можно сказать, что это определение в своих пунктах фактически перефразирует требования по целостности, конфиденциальности и доступности информации, о которых будет сказано далее.

Для сравнения приведем ряд других определений, собранных в словаре Парфенова В. Основные термины и определения]; 2 все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. ЗИ от 27 апр. Отсюда путь через неопределенность, случайные величины, энтропию.

Шеннон предложил единицу измерения информации — бит. Количество информации описывается формулой вида: В обыденном понимании — чем неожиданнее новость, тем больше ее информативность. Однако математическая теория информации не охватывает всего богатства содержания информации, поскольку она, прежде всего, абстрагируется от содержательной семантической стороны сообщения.

Тем не менее глубокие теоретические и практические результаты были получены, например, в области секретной связи. Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах ресурсах , а информация рассматривается как их часть.

Стандарт банка России уточняет это определение.