Реферат: Необходимость защиты информации

Новый Гуманитарный Университет Натальи Нестеровой

Факультеттуризма и гостиничного бизнеса

РЕФЕРАТ

по информатике

на тему:

НЕОБХОДИМОСТЬ ЗАЩИТЫ ИНФОРМАЦИИ

Москва

2002

Содержание

Необходимостьзащиты информации. 4

АСГРН… 4

Нормативно-правовыеакты по защите информации в АС ГРН… 7

Нормативно-техническиеакты, обеспечивающие защиту информации в АС ГРН   9

Требованияк средствам защиты информации. 11

Выборсредств защиты информации от несанкционированного доступа. 13

Списоклитературы… 14

Необходимость защитыинформации

Социальные и экономические изменения впоследние годы создали условия для широкого внедрения в России новейшихинформационных технологий, создания и использования перспективныхинформационных, телекоммуникационных систем связи и обработки информации базданных как в государственном, так и в негосударственном секторах экономики. Свхождением России в мировое информационное пространство, развитием глобальныхмеждународных сетей пользователи получили возможность доступа к информационнымресурсам независимо от своего территориального расположения.

В мировой экономике в настоящее время доля компьютерных и информационныхтехнологий очень существенна. Информационная индустрия, как и всякая другаяиндустрия, развивается по привычным экономическим законам. Но она имеетнекоторые существенные особенности, которые отличают ее от всей предыдущейсоциально-экономической практики. При формировании и использовании информационных  ресурсов  возникают определенные отношения между участниками.Регулировать подобные отношения призваны нормативно-правовые акты – законы,постановления, положения и др. Рассмотрим подробнее, как защищена информация в однойиз автоматизированных систем государственного сектора экономики - автоматизированной системы “Государственный регистр населения”. 

АС ГРН

Созданиеавтоматизированной системы “Государственный регистр населения” обусловлено необходимостьюрешения проблем, которые возникают при решении задач социально-экономическогоразвития страны и регионов, в сфере социального обеспечения населения, всистеме государственного регистрационного учета граждан и использованияпервичных регистрационных данных о гражданах, в обеспечении функционирования ивзаимодействия создаваемых автоматизированных систем учета различных категорийграждан, в сфере информационного обслуживания населения и хозяйствующихсубъектов.

Государственныйрегистрационный учет граждан в Российской Федерации должен осуществляться винтересах граждан и государства и основывается на системе регистрации гражданпо месту жительства и по месту пребывания, а также на системе регистрации актовгражданского состояния.  Регистрацию граждан по месту жительства и по меступребывания осуществляют паспортно-визовые службы органов внутренних делсовместно с органами местного самоуправления. Государственную регистрацию актовгражданского состояния осуществляют органы ЗАГС, образуемые органамигосударственной власти субъектов Российской Федерации. Координация деятельностипо государственной регистрации актов гражданского состояния осуществляетМинистерство юстиции Российской Федерации.

Действующая системарегистрационного учета обеспечивает сбор основных идентификационных сведений овсех гражданах, проживающих на территории Российской Федерации. Однако,существующее в настоящее время состояние этой системы характеризуется низкимуровнем автоматизации и технической оснащенности паспортно-визовых служборганов внутренних дел и органов ЗАГС, отсутствием информационного обмена междуорганами ЗАГС и паспортно-визовыми службами, следствием чего являетсянедостаточная оперативность получения паспортно-визовыми службами информации обумерших, об изменивших фамилию, имя, отчество, ограниченная возможностьоперативного использования имеющейся информации органами исполнительной власти,хозяйствующими субъектами, общественными организациями и гражданами.

Необходимостьоперативного получения актуальной и достоверной информации о проживающем натерритории Российской Федерации населении настоятельно требует внедрения новыхинформационных технологий в сфере государственных регистрационного учетаграждан. Внедрение таких технологий не сводится к установке вычислительнойтехники в органах, осуществляющих регистрацию граждан. Требуется решитьдостаточно сложные вопросы нормативных правового обеспечения системырегистрации и обмена данными в условиях информатизации.

При автоматизациипроцессов регистрации учета населения необходимо, с одной стороны,предотвращать попытки нарушения прав человека, а с другой стороны, обеспечитьзащиту прав и свобод личности и эффективное социальное развитие общества винтересах всего населения и каждой личности.

Создание АС ГРН будетспособствовать преодолению недостатков и разрешению имеющихся проблемныхситуаций. Создание АС ГРН является важной социально-экономической проблемой,решение которой требует использования программно-целевых методов.

Автоматизированнаясистема “Государственный регистр населения” (АС ГРН) является государственнойтерриториально-распределенной информационно-телекоммуникационной системой,обеспечивающей в автоматизированном режиме формирование, ведение ииспользование баз данных Государственного регистра населения; эффективноеинформационное взаимодействие автоматизированных информационных систем (АИС)учета различных категорий населения, информационное обслуживание органовгосударственной власти, органов местного самоуправления, хозяйствующихсубъектов и населения.

АС ГРН включает:государственный информационный ресурс “Государственный регистр населения”;средства информатизации — программно-технический комплекс ителекоммуникационную систему, осуществляющие автоматизированный сбор и хранениеданных ГРН и обеспечивающие доступ к ним; единое информационно-лингвистическоеобеспечение; организационно-правовое обеспечение ее создания ифункционирования.

Государственный регистрнаселения (ГРН) – совокупность минимально необходимых персональныхрегистрационных данных граждан Российской Федерации, однозначноидентифицирующих личность, и документы регистрационного учета населения, сборкоторых регламентирован государственными нормативными правовыми актами.

В соответствии со статьей24 Конституции Российской Федерации в ГРН собираются, хранятся и используютсятолько сведения регистрационного учета граждан. Сбор и хранение в ГРНинформации о частной жизни граждан не допускается. Каждый гражданин вправеознакомиться с составом и содержанием информации о себе, хранимой в ГРН.

Нормативно-правовые акты по защите информации в АСГРН

Правовую основу защитыданных в АС ГРН должны составлять правовые акты Российской Федерации:

·          КонституцияРоссийской Федерации;

·          Закон Российской Федерации от05.03.1992 г. № 2446-1 «О безопасности»;

·          Закон Российской Федерации от21.07.1993 г. № 5485-1 «О государственной тайне»;

·          Закон Российской Федерации от 10.06.1993 г. № 5154-1 «О стандартизации»;

·          Федеральный закон от 20.02.1995г. №24-ФЗ «Об информации, информатизации и защите информации»;

·          Федеральный закон от 04.07.1996г. №85-ФЗ «Об участии в международном информационном обмене»;

·          Указ Президента Российской Федерации от06.03.1992 г. № 188 «Об утверждении перечня сведений конфиденциальногохарактера»;

·          постановление Правительства РоссийскойФедерации от 21.02.1996г. № 226 “О государственном учете и регистрации баз ибанков данных”.

Информационную основу АСГРН составляют персональные данные. В отличие от других видов информацииперсональные данные имеют свои особенности, поскольку непосредственнозатрагивают интересы каждого гражданина, правовое положение которогоопределяется Конституцией Российской Федерации и регулируется федеральнымзаконодательством. Персональные данные о гражданах требуют особого режимагосударственной защиты от попыток нарушения прав человека. В то же времягосударство должно обеспечить права доступа каждого гражданина крегистрационным данным о нем, возможность внесения дополнений и изменений вличные данные, а также обеспечить доступ к персональным данным государственныхорганов власти и юридических лиц, обеспечивающих свободу и права личности,развитие инфраструктуры жизнеобеспечения человека и общества. С этой цельюнеобходимо разработать нормативные правовые документы, гарантирующие правачеловека, определенные в статье 24 Конституции Российской Федерации.

Важное значение дляобеспечения защиты данных имеют постановление Правительства РоссийскойФедерации от 15.09.1993 г. № 912-51, утверждающее “Положение о государственнойсистеме защиты информации в Российской Федерации от иностранных техническихразведок и от ее утечки по техническим каналам”, постановления ПравительстваРоссийской Федерации о регистрации граждан по месту жительства (меступребывания), а также нормативные правовые документы, касающиеся регистрацииактов гражданского состояния, положения об органах и инструкции по технологиипроведения регистрации. При создании и функционировании АС ГРН эти нормативныеправовые и иные акты должны быть изменены в соответствии с новыми требованиями.

При развитии правовойбазы, регулирующей создание АС ГРН и использование персональных данных,необходимо учитывать требования и опыт мирового сообщества в сфере защитыперсональных данных, в частности, требования Конвенции Совета Европы от28.01.1991 г. № 108 “О защите личности в отношении автоматизированной обработкиперсональных данных”, Директивы 95 ЕС Европейского парламента и СоветаЕвропейского Союза “О защите прав частных лиц в отношении обработкиперсональных данных и о свободном обращении этих данных” и Директивы97Европейского парламента и Совета Европейского Союза “Об обработкеперсональных данных и защите права на невмешательство в частную жизнь в сферетелекоммуникации”.

При разработкенормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендацииевропейского законодательства, гарантирующие:

·          защитуконституционных прав и свобод личности;

·          отсутствие ограничений и запретов наобмен персональными данными по причинам, связанным с защитой прав и свободличности;

·          предоставление личности возможностинепосредственного контроля правильности записи и использования персональныхданных;

·          создание системы государственногонадзора за операциями по обработке персональных данных и др.

Учитывая трудоемкость изначительную стоимость создания баз данных АС ГРН, а также недопустимостьнесанкционированного доступа к ним необходимо решить вопросы, связанные скомпенсацией финансовых потерь от различного рода действий, разрушающихинформацию. Важное значение при функционировании АС ГРН приобретает вопросвозмещения ущерба населению при неправомочном использовании персональныхданных. Указанные вопросы должны решаться с использованием страховыхмеханизмов. Необходимо разработать “Положение о страховании информационныхрисков при функционировании АС ГРН”.

Разрабатываемые правовыеакты по созданию и функционированию АС ГРН должны обеспечивать:

·          распределениеперсональных данных по степеням защищенности и по категориям доступа;

·          правовые механизмы, обеспечивающиезащиту информации;

·          организацию работ по защите информации;

·          выполнение положений государственнойсистемы защиты информации (ГСЗИ);

·          сертификацию технических средств,программных средств и средств защиты персональных данных;

·          лицензирование информационной деятельностипо формированию и использованию данных АС ГРН;

·          страхование информационных рисков.

Нормативно-технические акты, обеспечивающие защитуинформации в АС ГРН

Помимонормативно-правовых актов, обеспечивающих защиту информации в базах данных,существуют нормативно-технические акты, преследующие такие же цели.

Основным видом защитыинформации в АС ГРН является система защиты от несанкционированного доступа(СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработкувсей нормативно-технической документации на всех стадиях проектирования и вводасистемы в эксплуатацию.

Система защиты отнесанкционированного доступа в АС ГРН должна соответствовать следующимнормативным документам:

·          ГОСТ Р50739-95.СВТ. Защита от НСД к информации. ОТТ.

·          Руководящие документы ГостехкомиссииРоссии (1992 г.):

o    РД АС. Защита отНСД к информации. Классификация АС и требования по защите информации.

o    РД СВТ. Защита от НСД к информации.Показатели защищенности от НСД к информации.

o    РД. Концепция защиты СВТ и АС от НСД кинформации.

·          ИСО МЭК. Защита информации. Обозначениесертификатов.

·          ИСО МЭК. 7498-98. ИТ. Взаимосвязьоткрытых систем. Базовая эталонная модель.

·          МЭК. ППС 10181. ИТ. Взаимосвязьоткрытых систем. Основы защиты информации в открытых системах.

При созданиителекоммуникационной сети АС ГРН для подтверждения авторства сообщений иобеспечения их целостности должны применяться средства электронной цифровойподписи.

Средства электроннойцифровой подписи должны удовлетворять требованиям:

·          ГОСТ Р3410-94.Процедура выработки и проверки электронной цифровой подписи на базеассиметричного криптографического алгоритма.

·          ГОСТ Р3411-94. Функция хеширования.

·          Положение о порядке разработки,производства, реализации и использовании средств криптографической защитыинформации с ограниченным доступом, не содержащей сведений, составляющихгосударственную тайну (Положение ПКЗ-99).

При взаимодействиирегиональных баз персональных данных АС ГРН и баз данных федеральных органовгосударственной власти используется ИТКС специального назначения исертифицированные средства криптографической защиты, удовлетворяющиедополнительно следующим требованиям:

·          ГОСТ 28147-89.Система обработки информации. Защита криптографическая, Алгоритмыкриптографического преобразования;

·          Нормативным документам Федеральногоагентства правительственной связи и информации при Президенте РоссийскойФедерации:

·          Временные требования к средствамкриптографической защиты конфиденциальной информации;

·          Временные требования к устройствам типамежсетевые экраны.

Указанныенормативно-технические документы должны быть положены в основу создания ифункционирования АС ГРН. Проектирование системы должно проводиться помодульному принципу. На каждый модуль системы должен быть определенотечественный профиль. Отечественные профили и технические условия на системуявляются основой сертификации каждого модуля и системы в целом.

Требования к средствам защиты информации

Построение АС ГРН должнопредусматривать решение проблемы обеспечения гарантированной защиты данных оконкретных лицах. Средства защиты информации должны обеспечивать:

·          защиту информацииот несанкционированной модификации и разрушения на всех этапах ее обработки,хранения и передачи;

·          аутентификацию сторон, производящихобмен информацией (подтверждение подлинности отправителя и получателя);

·          разграничение прав пользователей иобслуживающего персонала при доступе к информационным ресурсам АС ГРН, а такжепри хранении и предоставлении конфиденциальной информации, в том числе защитуот несанкционированного доступа пользователей ведомственных информационныхсистем к информационным ресурсам АС ГРН;

·          возможность доказательстванеправомочности действий пользователей и обслуживающего персонала АС ГРН;

·          защиту информации отнесанкционированного доступа средствами проверки полномочий пользователей иобслуживающего персонала на использование информационных ресурсов АС ГРН(возможность несанкционированного изменения или уничтожения этой информации,как и несанкционированное получение, изменение или уничтожение информации огражданах третьими лицами должны быть исключены);

·          защиту от несанкционированноймодификации программного обеспечения, включая защиту от внедрения “вирусов” впрограммные продукты;

·          защиту информации от случайныхразрушений;

·          дублирование информации путем созданиярезервных копий;

·          выполнение специальных требований дляиспользуемых импортных аппаратных средств;

·          защиту от утечки по побочным каналамтехнических средств, предназначенных для обработки и хранения конфиденциальнойинформации;

·          защиту баз данных различного уровня;

·          защиту каналов передачи информации;

·          подтверждение авторства сообщений сиспользованием электронной цифровой подписи информации;

·          живучесть АС ГРН;

·          для любого гражданина возможностьбеспрепятственного ознакомления с данными о нем самом.

При формировании наоснове первичных данных АС ГРН аналитической и агрегированной информации всоответствующих информационно-аналитических системах могут быть использованысредства криптографической защиты, соответствующие категорийности формируемойинформации.

Используемыекриптографические средства защиты должны иметь сертификат ФАПСИ. Используемыекриптографические средства защиты должны удовлетворять “Временным требованиям ксредствам криптографической защиты конфиденциальной информации, не составляющейгосударственной тайны” по классу не ниже, чем “В”.

Выбор средств защиты информации отнесанкционированного доступа

Выбор средств защитыинформации от НСД должен основываться на указанных выше требованиях к системезащиты информации в АС ГРН и на анализе существующих средств защиты в стране.Эти средства должны быть, по возможности, отечественными и должны отвечать следующимтребованиям:

·          иметь сертификатв системе сертификации средств защиты;

·          функциональные возможности средствзащиты должны обеспечивать выполнение основных контрольных процедур до загрузкиоперационной системы;

·          спектр выпускаемых на аттестованныхпроизводствах средств защиты информации должен решать проблемы защиты вгетерогенных сетях, основанных на интеграции широко применяемых в Россииоперационных систем;

·          состав атрибутов, на основе которыхописываются правила разграничения доступа к объектам АС ГРН, должен быть таким,чтобы обеспечить возможность описания любой разумной непротиворечивой политикибезопасности;

·          для применения в сетевых решенияхобязательным является наличие средств централизованного управлениябезопасностью и средств аудита.

Важнейшим критериемвыбора средств защиты информации является анализ практики применения этихсредств.

Список литературы

1.   КонституцияРоссийской Федерации

2.    ПостановлениеГубернатора Московской области от 8 октября 1998 г. N 311-ПГ «О защитеинформационных ресурсов Московской области, составляющих государственнуютайну».

3.   Постановление Правительства РоссийскойФедерации от 21.02.1996 г. № 226 “О государственном учете и регистрации баз ибанков данных”

4.    УказПрезидента Российской Федерации от 06.03.1992 г. № 188 «Об утвержденииперечня сведений конфиденциального характера»

5.   Федеральный закон от 04.07.1996г. №85-ФЗ «Об участии в международном информационном обмене»

6.   Федеральный закон от 05.03.1992 г. №2446-1 «О безопасности»

7.   Федеральный закон от 10.06. 1993 г. №5154-1 «О стандартизации»

8.   Федеральный закон от 20.02.1995г. №24-ФЗ «Об информации, информатизации и защите информации»

9.   Федеральный закон от 21.07.1993 г. №5485-1 «О государственной тайне»

10.  Информатика: данные,технология, маркетинг. / Под ред. А.П. Романова. М.: Финансы и статистика, 1991

11.  Кукин В.Н. Информатика:организация и управление. М.: Экономика, 1991

12.  Майоров С.И. Информационныйбизнес: коммерческое распространение и маркетинг.  М.: Финансы и статистика,1993