Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

Вопрос 1 и 2

1.инф. рес-сы. Классификация.

информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)

Информационные ресурсы можно классифицировать по различным основаниям.
Информационные ресурсы по виду информации:
правовая информация; научно-техническая информация; политическая информация; финансово-экономическая информация; статистическая информация; информация о стандартах и регламентах, метрологическая информация; социальная информация; политическая информация; информация о здравоохранении; информация о чрезвычайных ситуациях; персональная информация; кадастры (земельный, градостроительный, др.).
Информационные ресурсы по способу доступа:
открытая информация (без ограничения); информация ограниченного доступа: государственная тайна, конфиденциальная информация, коммерческая тайна, профессиональная тайна, служебная тайна, персональные данные, личная (персональная) тайна.
Информационные ресурсы по виду носителя: на бумаге; на машиночитаемых носителях; в виде изображения на экране ЭВМ; в памяти ЭВМ; в канале связи; на других видах носителей.
Информационные ресурсы по способу формирования и распространения: стационарные; передвижные (мобильные).
Информационные ресурсы по способу организации хранения и использования: традиционные формы: массив документов, фонд документов, архив; автоматизированные формы: Интернет, банк данных, автоматизированная информационная система (сеть), база знаний.
Информационные ресурсы по форме собственности: общероссийское национальное достояние; государственная собственность; федеральная собственность; собственность субъектов Российской Федерации; совместная (федеральная и субъектов федерации); муниципальная собственность: частная собственность; коллективная собственность.

НЕ нашли? Не то? Что вы ищете?

2.принципы засекречивания сведений и отнесения их к гос. Тайне.

Отнесение сведений к государственной тайне и их засекречивание осуществляются в соответствии с принципами законности, обоснованности и своевременности.

Под законностью отнесения сведений к государственной тайне и их засекречивания понимается соответствие засекречиваемых сведений требованиям законодательства РФ о государственной тайне.

Обоснованность отнесения сведений к государственной тайне заключается в установлении путем экспертной оценки целесообразности их засекречивания, а также вероятных экономических и иных по следствий засекречивания исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность отнесения сведений к государственной тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения таких сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и для каждой из них - грифы секретности, устанавливаемые на их носителях: "особой важности", "совершенно секретно" и "секретно".

Порядок определения размеров ущерба, который может быть нанесен безопасности РФ вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством РФ.

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью. Обоснование необходимости отнесения сведений к государственной тайне возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).

Отнесение сведений к государственной тайне осуществляется руководителями органов государственной власти1 в соответствии с Перечнем сведений, составляющих государственную тайну, определяемым Федеральным законом "О государственной тайне". Лица, указанные в "Перечне должностных лиц...", несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.

Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует по предложениям органов государственной власти и в соответствии с Перечнем сведений, составляющих государственную тайну, Перечень сведений, отнесенных к государственной тайне2.

В этом Перечне указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Указанный Перечень утверждается Президентом РФ, подлежит открытому опубликованию и пересматривается по мере необходимости.

Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, разрабатывают развернутые перечни сведений, подлежащих засекречиванию, и устанавливают степень их секретности. Перечни утверждаются соответствующими руководителями органов государственной власти.

Основанием для засекречивания сведений, полученных (разработанных) в результате деятельности органов государственной власти, предприятий, учреждений и организаций, является их соответствие действующим в данных органах, на данных предприятиях, в данных учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:

·  о степени секретности содержащихся в носителе сведений;

·  об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;

·  о регистрационном номере;

·  о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.

Вопрос 3 и 4

3 Описание модели гипотетического нарушителя. Классификация нарушителей.

Описание модели гипотетического нарушителя

Важной составляющей успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты информации является подготовка гипотетической модели потенциального нарушителя. При этом необходимо учитывать, что:

• квалификация нарушителя может быть на уровне разработчика данной системы;

• нарушителем может быть как постороннее лицо, так и законный пользователь системы;

• нарушителю известна информация о принципах работы системы;

• нарушитель выберет наиболее слабое звено в защите.

Кроме того, при разработке модели нарушителя необходимо:

1) определить, к какой категории лиц он может принадлежать:

- из числа внутренних субъектов – непосредственный персонал системы,

- из числа внешних (посторонних) лиц – клиенты, посетители, представители систем жизнеобеспечения, конкуренты, наемники, случайные люди;

2) выявить цели и мотивы действий нарушителя (безответственность, самоутверждение, корыстный интерес);

3) учесть возможные ограничения на действия нарушителя.

Всех нарушителей можно классифицировать следующим образом:

По уровню знаний о КС (Компьютерная Система):

• знает функциональные особенности КС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

• применяющий чисто агентурные методы получения сведений;

• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

• в процессе функционирования КС (во время работы системы);

• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т. п.);

• как в процессе функционирования КС, так и в период неактивности компонентов системы.

По месту действия:

• без доступа на контролируемую территорию организации;

• с контролируемой территории без доступа в здания и сооружения;

• внутри помещений, но без доступа к техническим средствам КС;

• с рабочих мест конечных пользователей (операторов) КС;

• с доступом в зону данных (баз данных, архивов и т. п.);

• с доступом в зону управления средствами обеспечения безопасности КС.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т. е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

• нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;

• НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т. д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

4 Государственная тайна. Гриф секретности. Степень секретности.

Закон «О государственной тайне»

В основу законов, позволяющих отнести информацию к тому или иному разряду тайн, положены принципы информационного суверенитета и международные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне».

Основные понятия

Государственная тайна – защищаемые государственные сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации. Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сигналов, технических решений и процессов.

Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Степень секретности – категория, характеризующая важность такой информации, возможный ущерб в случае ее разглашения, степень ограничения доступа к ней и уровень ее охраны государством.

Перечень сведений, составляющих государственную тайну

Государственную тайну составляют:

1. Сведения в военной области:

2. Сведения в области экономики, науки и техники:

3. Сведения в сфере внешних отношений:

4. сведения в области государственной безопасности и охраны правопорядка:

Принципы засекречивания сведений и отнесения их к государственной тайне

Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности.

Законность – это соответствие относимых к государственной тайне и засекречиваемых сведений положениям Закона и законодательству Российской Федерации о государственной тайне.

Обоснованность – Установление путем экспертных оценок целесообразности отнесения к государственной тайне и засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта, исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность – заключается в установлении ограничений на распространение засекречиваемых сведений с момента их получения (разработки) или заблаговременно.

Степени секретности сведений и грифы секретности носителей этих сведений

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие их распространения. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности» - высший гриф секретности, «совершенно секретно» и «секретно». Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Вопрос 5 и 6

5. Понятие угрозы. Классификация угроз безопасности

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся Дикторы (уязвимости).

Классификация угроз:

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц. причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе".

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое сушествование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имушество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.

Уничтожение компьютерной информации - стирание ее в памяти ЭВМ.

Повреждение - изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением '.

Несанкционированное уничтожение, блокирование модификация, копирование информации – любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

6. Классификация мер обеспечения безопасности компьютерных систем

Можно выделить три направления работ по защите информации: теоретические исследования, разработка средств защиты и обоснование способов использования средств защиты в автоматизированных системах.

К настоящему времени разработано много различных средств, методов, мер и мероприятий, предназначенных для защиты информации, накапливаемой, хранимой и обрабатываемой в автоматизированных системах. Сюда входят аппаратные и программные средства, криптографическое закрытие информации, физические меры организованные мероприятия, законодательные меры. Иногда все эти средства защиты делятся на технические и нетехнические, причем, к техническим относят аппаратные и программные средства и криптографическое закрытие информации, а к нетехническим - остальные перечисленные выше.

а) аппаратные методы защиты.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства.

-специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности,

-генераторы кодов, устройства измерения индивидуальных характеристик человека с целью его идентификации,

-специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты,

-схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

б) программные методы защиты.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т. п.

-идентификация технических средств, задач и пользователей,

-определение прав технических средств и пользователей,

-контроль работы технических средств и пользователей,

-регистрация работы технических средств и пользователей при обработки информации ограниченного использования,

-уничтожения информации в ЗУ после использования,

-сигнализации при несанкционированных действиях,

-вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

в) резервное копирование.

Резервное копирование информации заключается в хранении копии программ на носителе: стримере, гибких носителях, оптических дисках, жестких дисках. На этих носителях копии программ могут находится в нормальном (несжатом) или заархивированном виде. Резервное копирование проводится для сохранения программ от повреждений (как умышленных, так и случайных), и для хранения редко используемых файлов.

г) криптографическое шифрование информации.

Криптографическое закрытие (шифрование) информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности, - единственным средством защиты информации от хищений.

д) физические меры защиты.

Следующим классом в арсенале средств защиты информации являются физические меры. Это различные устройства и сооружения, а также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Чаще всего применяются такие меры:

-физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений,

-ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий,

-организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения,

-организация системы охранной сигнализации.

е) организационные мероприятия по защите информации.

Следующим классом мер защиты информации являются организационные мероприятия. Это такие нормативно-правовые акты, которые регламентируют процессы функционирования системы обработки данных, использование ее устройств и ресурсов, а также взаимоотношение пользователей и систем таким образом, что несанкционированный доступ к информации становится невозможным или существенно затрудняется.

Основными мероприятиями в такой совокупности являются следующие:

-мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров (ВЦ),

-мероприятия, осуществляемые при подборе и подготовки персонала ВЦ (проверка принимаемых на работу, создание условий при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты),

-организация надежного пропускного режима,

-организация хранения и использования документов и носителей: определение правил выдачи, ведение журналов выдачи и использования,

-контроль внесения изменений в математическое и программное обеспечение,

-организация подготовки и контроля работы пользователей,

Вопрос 7 и 8

Понятие информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл.

В Законе РФ "Об информации, информационных технологиях и о защите информации" информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

1Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться.

2Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие.

Согласно определению информационной безопасности(ИБ), она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба.

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры... Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Основные преднамеренные искусственные угрозы

Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1) физическое разрушение системы (путем взрыва, поджога и т. п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т. п.);

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);

3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т. п.);

4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем подкупа, шантажа и т. п.) персонала или отдельных пользователей, имеющих определенные полномочия;

6) применение подслушивающих устройств, дистанционная фото - и видеосъемка и т. п.;

7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.);

8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);

10) несанкционированное копирование носителей информации;

11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);

12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т. д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");

15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т. п.;

16) вскрытие шифров криптозащиты информации;

17) внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

Вопрос 9 и 10

Вопрос 9. Понятие угрозы. Классификация угроз информационной безопасности по цели воздействия.

В основе угрозы информационной безопасности лежит понятие атаки на информацию.

Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, представлена сотнями различных видов(файл, база данных, одна запись в базе данных, целиком программный комплекс).

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Атака на информацию — это умышленное нарушение правил работы с информацией.

Классификация по цели воздействия.

*44% случаев — кража денег с электронных счетов

*16% случаев — вывод из строя программного обеспечения

*16% случаев — кража информации с различными последствиями

*12% случаев — информация была сфальсифицирована

Кто был исполнителем этих действий:

*в 81% случаев — текущий кадровый состав учреждений,

*в 13% случаев — совершенно посторонние люди,

*в 6% случаев — бывшие работники этих же учреждений.

Каковы возможные последствия атак на информацию?

Экономические потери:

*Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке.

*Известие о краже большого объема информации серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций.

*Фирмы-конкуренты могут воспользоваться кражей информации

*Подмена информации, как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам.

*Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.

Основные причины повреждений электронной информации :

*неумышленная ошибка человека — 52% случаев

*умышленные действия человека — 10% случаев

*отказ техники — 10% случаев,

*повреждения в результате пожара — 15% случаев

*повреждения водой — 10% случаев.

Вопрос 10. Пути реализации угроз ИБ.

В общем случае программное обеспечение любой универсальной компьютерной системы состоит из трех основных компонентов - системы управления базами данных (СУБД), операционной системы (ОС) и сетевого программного обеспечения (СПО). Поэтому все попытки взлома защиты компьютерных систем можно разделить на три части.

1. Атаки на уровне систем управления базами данных.

Защита СУБД является одной из самых простых. Это связано с тем, что СУБД имеют строгую внутреннюю структуру, и операции над элементами СУБД определены довольно четко( поиск, вставка, удаление и замену элемента, а остальные операции носят вспомогательный характер). Однако, если используется СУБД с недостаточно надежными защитными механизмами или версия СУБД плохо протестирована, содержит ошибки тогда преодоление хакером защиты, реализуемой на уровне СУБД, становится вполне вероятным событием.

Кроме того, имеются два специфических сценария атаки на СУБД. В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись представляет собой денежную сумму, которая хранится на личном счете хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для него доступной является только накопляемая статистическая информация. Идея хакерской атаки на СУБД заключается в том, чтобы так хитроумно сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной.

1.2. Атаки на уровне операционной системы.

В отличие от СУБД, защищать ОС гораздо сложнее. Дело в том, что внутренняя структура современных ОС чрезвычайно сложна.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной ОС, являющейся объектом этой атаки. Однако есть несколько видов атак, которым может быть подвергнута практически любая ОС.

1.2.1. Кража пароля.

• подглядывание за легальным пользователем, когда тот вводит пароль, дающий ему право на работу с ОС (даже если во время ввода пароль не высвечивается на экране дисплея, хакер может легко узнать пароль, просто следя за перемещением пальцев пользователя по клавиатуре);

• получение пароля из файла, в котором этот пароль был сохранен

• поиск пароля, который пользователи, чтобы не забыть, часто записывают на календарях, в записных книжках или на оборотной стороне компьютерных клавиатур

• кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя для входа в ОС).

1.2.2. Подбор пароля.

* полный перебор всех возможных вариантов пароля;*оптимизированный перебор вариантов пароля (по частоте встречаемости символов, с помощью словарей наиболее часто применяемых паролей, с использованием информации о конкретном пользователе - его имени, фамилии, номера телефона, даты рождения и т. д., с учетом сведений о существовании эквивалентных паролей - при этом из каждого класса эквивалентности опробуется всего один пароль, что может значительно сократить время перебора).

* Сканирование "жестких" дисков компьютера: хакер последовательно пытается обратиться к каждому файлу, хранимому на "жестких" дисках компьютерной системы. Если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа к файлам и каталогам администратор допустил хотя бы одну ошибку, в результате все такие каталоги и файлы будут прочитаны хакером.

* Сборка "мусора": если средства ОС позволяют производить восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями (например, просмотрев содержимое их "мусорных" корзин).

* Превышение полномочий. Используя ошибки в программном обеспечении или в администрировании ОС, хакер получает полномочия, превышающие те, что были предоставлены ему согласно действующей политике безопасности:

- запуск программы в качестве системной (драйвера, сервиса, демона и т. д.) или от имени пользователя, имеющего необходимые полномочия;

- подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам;

- модификация кода или данных подсистемы защиты ОС.

1.2.3. Отказ в обслуживании.

(целью этой атаки является частичный или полный вывод ОС из строя):

*захват ресурсов (хакерская программа производит захват всех имеющихся в ОС ресурсов, а затем входит в бесконечный цикл);

*  бомбардировка запросами (хакерская программа постоянно направляет ОС запросы, реакция на которые требует привлечения значительных ресурсов компьютерной системы);

*  использование ошибок в программном обеспечении или администрировании.

Если программное обеспечение компьютерной системы не содержит ошибок и ее администратор строго соблюдает адекватную политику безопасности, рекомендованную разработчиками ОС, то все перечисленные виды атак являются малоэффективными. Поэтому политика безопасности должна быть построена так, чтобы даже преодоление рубежа защиты, создаваемого средствами ОС, не позволило бы хакеру нанести серьезный ущерб компьютерной системе.

1.3 Атаки на уровне сетевого программного обеспечения.

Уровень СПО является наиболее уязвимым для атак хакеров. Поэтому на уровне СПО возможны следующие разновидности хакерских атак:

• прослушивание сегмента локальной сети (в пределах одного и того же сегмента этой сети любой подключенный к нему компьютер может принимать сообщения, адресованные другим компьютерам сегмента);

• перехват сообщений на маршрутизаторе (если хакер имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения);

• создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида хакер добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям);

• навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, хакер обманным путем переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей этих соединений);

• отказ в обслуживании (хакер отправляет в сеть особые сообщения, после чего одна или несколько компьютерных систем, подключенных к сети, полностью или частично выходят из строя).

Поскольку хакерские атаки на уровне СПО спровоцированы открытостью сетевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруднить сетевой обмен для лиц, не являющихся легальными пользователями. Вот несколько способов:

• максимальное ограничение размеров компьютерной сети (чем больше сеть, тем труднее ее защитить);

• изоляция сети от внешнего мира (по возможности следует ограничивать физический доступ к компьютерной сети извне, чтобы уменьшить возможность несанкционированного подключения хакера);

• шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, это приведет к снижению производительности СПО и росту накладных расходов);

• цифровая подпись сетевых сообщений

•использование брандмауэров (брандмауэр является вспомогательным средством защиты, применяемым только в том случае, если защищаемую компьютерную сеть невозможно изолировать от других сетей, поскольку брандмауэр довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, и в результате типичной является ситуация, когда брандмауэр не только не защищает от хакерских атак, но еще и препятствует нормальному функционированию компьютерной сети).

Вопрос 11 и 12

Основные нормативно-правовые акты в области ИБ. Стратегия НБ РФ.

11.

Непосредственно законодательство России в области информатизации начало формироваться с 1991 года и включало до 1997 года десять основных законов. Это закон "О средствах массовой информации" (27.12.91 г. ), Патентный закон РФ (от 23.09.92 г. ), закон "О правовой охране топологий интегральных микросхем" (от 23.09.92 г. ), закон "О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92 г. ), Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. ), закон "Об авторском праве и смежных правах" (от 9.07.93 г. ), закон "О государственной тайне" (от 21.07.93 г. ), закон "Об обязательном экземпляре документов" (от 29.12.94 г. ), закон "О связи" (от 16.02.95 г. ), закон "Об информации, информатизации и защите информации" (от 20.02.95 г. ), закон "Об участии в международном информационном обмене" (от 5.06.1996 г. ).

Составы компьютерных преступлений (т. е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274).

Целью защиты информационных технологий является защита интересов субъектов информационных отношений, т. е. субъектов прямо или косвенно связанных с обрабатываемой информацией.

Автоматизированная система должна быть построена и функционировать таким образом, чтобы выходная информация могла быть предоставлена в нужное время и в нужном виде только тому субъекту, для которого она предназначена. То есть АС должна обеспечивать обработку информации и защиту самой себя.

ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

(утверждена Президентом Российской Путиным 9 сентября 2000 г., № Пр-1895)

Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для достижения этого требуется:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;

усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;

обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Для достижения этого требуется:

укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов..

Для достижения этого требуется:

развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;

развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

В этих целях необходимо:

повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;

обеспечить защиту сведений, составляющих государственную тайну;

расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

Общие методы обеспечения
информационной безопасности Российской Федерации

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Основные нормативно-правовые акты в области ИБ. Закон о «Государственной тайне».

12.

Непосредственно законодательство России в области информатизации начало формироваться с 1991 года и включало до 1997 года десять основных законов. Это закон "О средствах массовой информации" (27.12.91 г. ), Патентный закон РФ (от 23.09.92 г. ), закон "О правовой охране топологий интегральных микросхем" (от 23.09.92 г. ), закон "О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92 г. ), Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. ), закон "Об авторском праве и смежных правах" (от 9.07.93 г. ), закон "О государственной тайне" (от 21.07.93 г. ), закон "Об обязательном экземпляре документов" (от 29.12.94 г. ), закон "О связи" (от 16.02.95 г. ), закон "Об информации, информатизации и защите информации" (от 20.02.95 г. ), закон "Об участии в международном информационном обмене" (от 5.06.1996 г. ).

Составы компьютерных преступлений (т. е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274).

Закон о государственной тайне

Закон РФ от 01.01.01 г. N 5485-1

"О государственной тайне"

(с изменениями от 6 октября 1997 г., 30 июня,

11 ноября 2003 г., 29 июня, 22 августа 2004 г.,

1 декабря 2007 г.)

Раздел I. Общие Положения

Статья 1. Сфера действия настоящего Закона

Статья 2. Основные понятия, используемые в настоящем Законе

Статья 3. Законодательство Российской Федерации о государственной тайне

Статья 4. Полномочия органов государственной власти и должностных лиц в области

отнесения сведений к государственной тайне и их защиты

Раздел II. Перечень сведений, составляющих государственную тайну

Cтатья 5. Перечень сведений, составляющих государственную тайну

Раздел III. Отнесение сведений к государственной тайне и их засекречивание

Статья 6. Принципы отнесения сведений к государственной тайне и засекречивания

этих сведений

Статья 7. Сведения, не подлежащие отнесению к государственной тайне и

засекречиванию

Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений

Статья 9. Порядок отнесения сведений к государственной тайне

Статья 10. Ограничение прав собственности предприятий, учреждений организаций и

граждан Российской Федерации на информацию в связи с ее засекречиванием

Статья 11. Порядок засекречивания сведений и их носителей

Статья 12. Реквизиты носителей сведений, составляющих государственную тайну

Раздел IV. Рассекречивание сведений и их носителей

Статья 13. Порядок рассекречивания сведений

Статья 14. Порядок рассекречивания носителей сведений, составляющих

государственную тайну

Статья 15. Исполнение запросов граждан, предприятий, учреждений, организаций и

органов государственной власти Российской Федерации о рассекречивании

сведений

Раздел V. Распоряжение сведениями, составляющими государственную тайну

Статья 16. Взаимная передача сведений, составляющих государственную тайну,

органами государственной власти, предприятиями, учреждениями и

организациями

Статья 17. Передача сведений, составляющих государственную тайну, в связи с

выполнением совместных и других работ

Статья 18. Передача сведений, составляющих государственную тайну, другим

государствам или международным организациям

Статья 19. Защита сведений, составляющих государственную тайну, при изменении

функций субъектов правоотношений

Раздел VI. Защита государственной тайны

Статья 20. Органы защиты государственной тайны

Статья 21. Допуск должностных лиц и граждан к государственной тайне

Статья 21(1). Особый порядок допуска к государственной тайне

Статья 22. Основания для отказа должностному лицу или гражданину в допуске к

государственной тайне

Статья 23. Условия прекращения допуска должностного лица или гражданина к

государственной тайне

Статья 24. Ограничения прав должностного лица или гражданина, допущенных или

ранее допускавшихся к государственной тайне

Статья 25. Организация доступа должностного лица или гражданина к сведениям,

составляющим государственную тайну

Статья 26. Ответственность за нарушение законодательства Российской Федерации о

государственной тайне

Статья 27. Допуск предприятий, учреждений и организаций к проведению работ,

связанных с использованием сведений, составляющих государственную тайну

Статья 28. Порядок сертификации средств защиты информации

Раздел VII. Финансирование мероприятий по защите государственной тайны

Статья 29. Финансирование мероприятий по защите государственной тайны

Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны

Статья 30. Контроль за обеспечением защиты государственной тайны

Статья 31. Межведомственный и ведомственный контроль

Статья 32. Прокурорский надзор

Вопрос 13 и 14

13.Основные нормативно-правовые акты в области информационной безопасности. Уголовно-правовая защита информации, составляющей государственную тайну.

закон "О государственной тайне" (от 21.07.93 г. )

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

Статья 283. Разглашение государственной тайны

1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены – наказывается арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Статья 284. Утрата документов, содержащих государственную тайну

Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, - наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Кроме вышеперечисленных статей, в УК РФ включен еще ряд норм, направленных на защиту охраняемой законом информации. При этом под охраняемой законом информацией понимаются различные сведения, в число которых наряду с другими данными (содержащими личную, семейную, коммерческую, банковскую, служебную, профессиональную и другую тайну) входит и информация, составляющая государственную тайну. К эти нормам относятся следующие статьи.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказывается лишением свободы на срок от двух до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Статья 325. Похищение или повреждение документов, штампов, печатей

Похищение, уничтожение, повреждение или сокрытие официальных документов, штампов или печатей, совершенные из корыстной или личной заинтересованности, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до одного года.

14.Основные нормативно-правовые акты в области информационной безопасности. Закон «О коммерческой тайне».

2.4. Закон «О коммерческой тайне»

16 августа 2004 года вступил в действие Федеральный закон «О коммерческой тайне» [20], позволяющий упорядочить установление, функционирование и прекращение отношений, связанных с коммерческой тайной. Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений (в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции). Закон также определяет сведения, которые не могут составлять коммерческую тайну.

2.4.1. Основные понятия

Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства «ноу-хау»), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К такой информации нет свободного доступа на законном основании и в отношении нее обладателем информации введен режим коммерческой тайны.

Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

Доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

Передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.

Контрагент - сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

2.4.2. Порядок отнесения информации к коммерческой тайне и способы ее получения

1. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю информации с учетом положений данного Закона.

2. Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности, считается полученной законным способом, даже если эта информация составляет коммерческую тайну и ей обладает другое лицо.

3. Информация, составляющая коммерческую тайну, считается полученной законно, если она получена от ее обладателя на основании договора.

4. Признаки информации, полученной незаконно:

-полученная информация составляет коммерческую тайну и получатель умышленно преодолевал меры по ее охране;

-получатель информации знал, что получает информацию от лица, не имеющего право на ее передачу получателю.

2.4.3. Сведения, которые не могут составлять коммерческую тайну

Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

2.4.4. Права обладателя информации, составляющей коммерческую тайну

Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны. Обладатель имеет следующие права:

1) устанавливать, изменять и отменять режим коммерческой тайны;

2) использовать информацию, составляющую коммерческую тайну, для собственных нужд;

3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;

4) вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;

5) требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, органов местного самоуправления, которым предоставлена такая информация, соблюдения обязанностей по охране ее конфиденциальности;

6) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

7) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

2.4.5. Охрана коммерческой тайны

Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:

-разработка перечня информации, относящейся к коммерческой тайне;

-ограничение и регламентирование доступа к носителям информации;

-определение круга лиц, имеющих права доступа к информации;

-разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;

-нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).

После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

2.4.6. Ответственность за нарушение требований Федерального закона «О коммерческой тайне»

Нарушение требований закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством.

Статья 13.14 Кодекса об административных правонарушениях

Разглашение информации, доступ к которой ограничен ФЗ (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.

Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом наказывается штрафом в размере до 80 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев либо лишением свободы на срок до 2-х лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, наказываются штрафом в размере до 120 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 3 лет.

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, наказываются штрафом в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 5 лет.

4. Деяния, предусмотренные частями 2-й или 3-ей статьи 183, повлекшие тяжкие последствия, наказываются лишением свободы на срок до 10 лет.

Вопрос 15 и 16

16.КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ ("ОРАНЖЕВАЯ КНИГА" МИНИСТЕРСТВА ОБОРОНЫ США).

В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Основные критерии оценки надежности:

А)Политика безопасности - набор правил, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Активный компонент защиты ( анализ и противодействие)

Б)Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы; показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности; пассивный компонент защиты, надзирающий за самими защитниками.

Средства обеспечения безопасности:

А) механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности.

Б) аудит - анализом регистрационной информации.

В) Надежная вычислительная база - совокупность защитных механизмов компьютерной системы, мониторинг обращений.

Дополнительно

От монитора обращений(ядро безопасности) требуется выполнение трех свойств:

А)Изолированность. Монитор должен быть защищен от отслеживания своей работы.

Б)Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода.

В)Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Границу надежной вычислительной базы называют периметром безопасности. Связь между внутренним и внешним мирами осуществляют посредством шлюзовой системы

15.

Основных законы:

1)"О средствах массовой информации" (27.12.91 г. )

2)Патентный закон РФ (от 23.09.92 г. )

3)"О правовой охране топологий интегральных микросхем" (от 23.09.92 г. )

4)"О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92 г. )

5)Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. )

6)"Об авторском праве и смежных правах" (от 9.07.93 г. )

7)"О государственной тайне" (от 21.07.93 г. )

8)"Об обязательном экземпляре документов" (от 29.12.94 г. )

9)"О связи" (от 16.02.95 г. )

10)"Об информации, информатизации и защите информации" (от 20.02.95 г.

11)"Об участии в международном информационном обмене" (от 5.06.1996 г. )

12) "О коммерческой тайне"

13) "О персональных данных"

Федеральный закон «О персональных данных» (Закон «О персональных данных») – нормативно-правовой акт

Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 года.

Целью закона является защита прав и свобод человека при обработке его персональных данных.

В соответствии с законом существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т. ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.

Согласно закону операторы ПДн должны выполнить ряд действий:

А) Направить уведомление об обработке персональных данных (Закон Ст. 22 п. 3)

Б)Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон ст. 9 п. 4)

В)Уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон ст. 21 п. 4)

Уведомление об обработке персональных данных и письменное согласие субъекта персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон ст. 22 п. 2)

Действие Закона НЕ распространяется на отношения, возникающие при:

А)обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

Б)организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

В)обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

Г)обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.