Особенности национального технического регулирования в сфере ИБ
Под методологией защиты информации понимается использование совокупности необходимых и достаточных моделей, методов, методик.
С принятием в 2002 г. Федерального закона «О техническом регулировании» началась новая эра в области задания требований к продукции и оценке ее соответствия. Целью данного закона было снятие излишних, искусственно воздвигнутых барьеров на пути изделий отечественных (и не только) производителей, ликвидация разнородных и иногда противоречивых требований, заложенных в отечественных стандартах. Отныне все обязательные требования разрешается излагать только в технических регламентах (ТР), а следование стандартам — дело добровольное. При этом и в ТР можно предъявлять не произвольные требования, а лишь касающиеся защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества; охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вводящих в заблуждение приобретателей.
В ст. 7 упомянутого закона приведены различные виды безопасности, которые обеспечиваются выполнением минимальных требований регламентов: механическая, пожарная, промышленная, и т.д. Обращает на себя внимание отсутствие такого важного вида, как информационная безопасность.
Существуют мнения о необходимости внесения в закон соответствующих поправок, но в настоящее время это регулирует ГОСТ Р ИСО/МЭК 17799-2007.
Перечень основных задач, которые должны решаться системой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей;
• зашита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;
• контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного обеспечения с целью зашиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы зашиты, а также от внедрения и распространения компьютерных вирусов;
• управление средствами зашиты информации.
Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.
УЧЕНЬЕ - СВЕТ, А НЕУЧЕНЬЕ - ЧУТЬ СВЕТ И НА РАБОТУ!
