Читать книгу Комплексная защита телекоммуникационных систем. Учебное пособие - Виталий Владимирович Грызунов - Страница 4
1 Структура правовых актов в сфере Информационной безопасности
Оглавление1.1 Цель занятия
Целью лабораторной работы является формирование навыков первичного анализа действующего законодательства.
1.2 Методические указания студенту
Лабораторной работе предшествует целевая самоподготовка, на которой необходимо изучить:
– основные приёмы анализа нормативно-правовых актов;
– классификацию информации с точки зрения её защиты;
– иерархию нормативно-правовых актов РФ.
В результате выполнения лабораторной работы каждый студент должен уметь:
– формулировать запросы на поиск нужного нормативно-правового акта;
– находить требуемый нормативно-правовой акт;
– визуализировать структуру нормативно-правовых актов.
1.3 Теоретическая часть
Структура нормативно-правовых актов в сфере информационной безопасности соответствует общей иерархии нормативно-правовых актов (рис. 1.1) в РФ и иерархии информационных систем (ИС) (рис. 1.2) и отражает классификацию защищаемой информации (рис. 1.3) и пользователей информации (табл. 1.1). Акты принимаются всеми ветвями власти РФ: судебной, исполнительной, законодательной.
1.3.1 Иерархия информационных систем
ИС представляет собой сложный объект, имеющий несколько уровней иерархии [1]. Условно эти уровни можно представить так, как это показано на рис. 1.2. Можно сказать, что каждый вышестоящий уровень является «метасистемой» для всех нижестоящих уровней, т.е. «аксиомой», задающей основные требования к множеству допустимых и требуемых пространственно-временных состояний нижестоящих уровней. «Аксиомой, не требующей доказательств», для программного обеспечения (ПО) является аппаратное обеспечение (АО), для аппаратного обеспечения – действия персонала (П). Персонал, в свою очередь, должен действовать в соответствии с условиями и ограничениями различных видов обеспечения (об).
Так, например, ПО, выполняясь, использует предоставленную процессором систему команд и может получить доступ только в те участки памяти, что разрешены процессором, а современные процессоры выделяют область памяти, куда запрещают доступ для всех программ. Процессоры Intel используют технологию Active Management Technology (AMT), которая позволяет управлять компьютером минуя операционную систему. Само аппаратное обеспечение (и, соответственно, ПО) функционирует под управлением персонала, который подаёт электропитание, разграничивает доступ к оборудованию и т.д.
Рисунок 1.1. Иерархия нормативно-правовых актов в РФ
Рисунок 1.2. Иерархии информационных систем
Говоря про персонал, необходимо отметить, что человек (персонал) по своей природе – биосоциальное существо, обладающее психикой. Соответственно, на него влияют как законы реального мира, так и нормы морали, юридические законы, экономические и психологические факторы, и т.п. Разные факторы влияют на разных людей по-разному. Например, неправомерный доступ к компьютерной информации или распространение вредоносных программ запрещено уголовным кодексом. Однако сильная нужда, тщеславие или жадность могут сделать более приоритетным получение экономической выгоды, и человек пойдёт на преступление. Или, например, введённый в состояние «зомби» человек будет беспрекословно выполнять инструкции злоумышленника. Человек – пока не изученное существо, и классификация элементов обеспечивающего уровня предмет дополнительных исследований, поэтому далее, говоря об обеспечивающем уровне, будем иметь в виду лишь явно выделяющиеся нормативно-правовую, экономическую и психологическую составляющие.
1.3.2 Классификация информации
В ИС обрабатывается следующая информация с разными требованиями в разграничении доступа:
• картографические данные;
• координаты объектов и маршруты передвижения;
• координаты пользователей, поисковые запросы, предпочтения и др.;
• свойства объектов: финансирование, стоимость, размер, численность и т.д.;
• персональные данные пользователей всех категорий;
• медицинские данные об очагах болезней и скоростях их распространения;
• метеообстановка;
• данные, защищённые авторским правом;
• другие данные.
Для каждого типа информации существуют свои требования по разграничению доступа, что определяет специфические требования к ИС [2].
С точки зрения организации информационной безопасности и предоставления доступа к информации интересны следующие типы ИС:
– государственные и негосударственные:
– общего пользования и закрытые;
– коммерческие и бесплатные.
Информационная безопасность в государственных ИС и ИС общего пользования жёстко регламентирована нормативными документами.
Информационная система общего пользования ‒ информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано [3].
Коммерческие ИС организуют информационную безопасность по своему усмотрению, если не обрабатывают информацию, принадлежащую госорганам. Физические лица довольствуются тем уровнем информационной безопасности, который предоставили владельцы ИС.
Рисунок 1.3. Классификация информации ГИС по режиму доступа
Примеры разных пользователей ИС и грифы обрабатываемой информации приведены в табл. 1.1.
Как видно из таблицы, в информационной системе (ИС) как таковой, обрабатывается вся информация, и значит, для каждой конкретной реализации ИС будет свой набор угроз информационной безопасности, свой набор защитных мер, своя реализация механизма разграничения доступа. Так, например, для ИС, попадающих под определение информационных систем общего пользования, наиболее важным является доступность [4]; для ИС, содержащих сведения, составляющие государственную тайну, в первую очередь требуется конфиденциальность. Для всех ИС важно обеспечить аутентичность поступающих данных [5].
Таблица 1.1. Примеры пользователей информации
1.4 Порядок выполнения работы
1. Получить задание у преподавателя.
2. Составить mind map с иерархией законодательства применительно к информационной безопасности в целом. На карте отразить основные положения нормативно-правовых актов, сферы их применения.
3. Составить mind map с описанием иерархии органов-регуляторов в сфере информационной безопасности, их полномочий и ограничений. Привести ссылки на соответствующие нормативно-правовые документы.
4. Составить mind map иерархии законодательства, регулирующего деятельность, указанную в индивидуальном задании. В mind map для каждого нормативно-правого акта указать уровни иерархической модели ИС, которые он регулирует.
5. Для двух документов (ГОСТ, Положение, Приказ и т.д.), регулирующих деятельность в сфере из индивидуального задания, составить подробный mind map;
6. Оформить отчет, защитить работу преподавателю.
1.5 Варианты индивидуальных заданий
1) Банковская тайна;
2) Know how;
3) Персональные данные;
4) Деятельность по криптографической защите информации;
5) Оперативно-розыскная деятельность;
6) Государственная тайна;
7) Распространение запрещённой информации;
8) Адвокатская тайна;
9) Хранение электронных документов;
10) Судебная тайна.
1.6 Содержание отчета
По результатам выполнения работы каждый студент должен представить отчет. Отчет должен содержать:
1) тему лабораторной работы;
2) цель работы;
3) mind map с иерархией законодательства применительно к информационной безопасности в целом;
4) mind map с описанием полномочий и ограничений органов-регуляторов в сфере информационной безопасности;
5) mind map документов, регулирующего деятельность, указанную в индивидуальном задании;
6) выводы по работе.
Отчетный материал представляется преподавателю, а полученные результаты защищаются.
1.7 Перечень контрольных вопросов
1. Чем информация отличается от данных?
2. Какая ветвь власти самая главная?
3. Полномочия и ограничения ФСБ в области информационной безопасности? В ответе сошлитесь на нормативно-правовые акты.
4. Полномочия и ограничения ФСТЭК в области информационной безопасности? В ответе сошлитесь на нормативно-правовые акты.
5. С какого уровня иерархической модели ИС возможны самые разрушительные воздействия? Почему?
6. В чём отличия грифов «секретно», «совершенно секретно», «особой важности»?
7. Почему есть информация, обязательная к распространению? Ответ пояснить ссылками на нормативно-правовые акты.
8. Возможные способы решения ситуации, когда положения одного нормативно-правового акта противоречат другому?
9. Почему декреты и указы Президента ниже по иерархии, чем федеральные законы?
10. Какой регулятор главнее: «служба», «агентство» или «министерство»?
1.8 Список литературы
1. Грызунов, В. В. Аналитическая модель целостной информационной системы / В. В. Грызунов // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2009. – № 1–1(19). – С. 226–230.
2. Gryzunov V. Problems of Providing Access to a Geographic Information System Processing Data of Different Degrees of Secrecy / V. Gryzunov, D. Gryzunova // Cyber Security and Digital Forensics. Lecture Notes on Data Engineering and Communications Technologies / eds K. Khanna, V.V. Estrela, J.J.P.C. Rodrigues. – Springer, Singapore. – 2022. – vol. 73. –DOI 10.1007/978-981-16-3961-6_17.
3. Федеральный закон Российской Федерации от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи" (с изм. и доп. от 02 июля 2021) [Электронный ресурс] // КонсультантПлюс : справочно-правовая система [Офиц. сайт]. – URL: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 13.11.2021).
4. Приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю № 416/489 от 31 августа 2010 года "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования" [Электронный ресурс] // Система Гарант : информационно-правовое обеспечение [Офиц. сайт]. – URL: http://ivo.garant.ru/#/document/199541/paragraph/7:0 (дата обращения: 14.11.2021).
5. Грызунов, В. В. Облик системы защиты аутентичности данных геоинформационной системы / В. В. Грызунов, Д. А. Украинцева // Информационная безопасность регионов России. Материалы XI Санкт-Петербургской межрегиональной конференции. – 2019 г. – С. 172–173. ISBN 978-5-907223-31-8.