- -
- 100%
- +
Глава 1
лекция 1
основные понятия информационной безопасности
Оглавление
Введение
1. Лекция 1. Основные понятия информационной безопасности
1.1. Информация
1.2. Обладатель информации
1.3. Доступ к информации
1.3.1. Право доступа
1.3.2. Несанкционированный доступ к информации
1.4. Типы информации с позиции информационной безопасности
1.5. Свойства информации с позиции информационной безопасности
1.6. Обработка информации
1.7. Информационные технологии
1.8. Информационная система
1.8.1. Классификация информационных систем
1.8.1.1. Локальная информационная система
1.8.1.2. Распределенная информационная система
1.8.1.3. Автономная (изолированная) информационная система
1.8.1.4. Информационная система, имеющая подключения к сети общего пользования
1.8.1.5. Однопользовательская информационная система
1.8.1.6. Многопользовательская информационная система
1.8.1.7. Информационная система с разграничением прав доступа к информации
1.8.1.8. Государственная и муниципальная информационная система
1.8.1.8.1. Государственная информационная система
1.8.1.8.2. Муниципальная информационная система
1.8.1.8.3. Информационная система муниципального казенного учреждения
1.9. Информационная безопасность
1.10. Защита информации
1.10.1. Инвентаризация информационных систем
1.10.2. Определение уязвимостей
1.10.3. Определение угроз
1.10.4. Определение источников угроз
1.10.5. Определение рисков
1.10.6. Контрмеры (защитные меры)
1.10.7. Исходная безопасность информационных систем
1.11. Иллюстрация введенных понятий на простом примере
1.11.1. Анализ уязвимостей
1.11.2. Определение угроз
1.11.3. Определение источников угроз
1.11.4. Определение рисков
1.11.5. Контрмеры
1.12. Заключение
1.13. Вопросы для самопроверки
Введение
Обработкой персональных данных в той или иной форме занимаются все предприятия, организации, учреждения (далее, просто предприятие) независимо от форм собственности, деятельности, размеров и других отличительных факторов. Даже, если предприятие не оказывает услуги населению (физическим лицам), не взаимодействует с другими предприятиями (контрагентами), оно все же имеет в своем штате собственных сотрудников. Соответственно, предприятие обязано в соответствии с законодательством РФ вести кадровый учет, начислять и выплачивать вознаграждение сотрудникам, а также отчитываться перед государственными службами о тех или иных сторонах деятельности (например, перед пенсионным фондом).
Люди, физические лица в повседневной жизни для удовлетворения своих потребностей получают услуги от предприятий (услуги жизнеобеспечения, банковские, страховые и т.д.), становятся их клиентами и передают им сведения о себе (персональные данные – ПДн). Аналогично, поступая на работу, человек обязан передать работодателю некоторый перечень персональных данных, который определен в Трудовом Кодексе РФ.
Современные информационные технологии позволяют получать определенные услуги удаленно, т.е. без физического присутствия и физического взаимодействия клиента с представителем поставщика услуг. Для совершения сделки, например, в Интернет-магазине, персональные данные будут переданы от клиента к поставщику через не безопасную сеть международного доступа.
Если персональные данные физического лица становятся известными злоумышленнику, то они могут быть использованы им в корыстных или иных целях с нанесением материального или морального ущерба данному лицу. Следовательно, персональные данные, полученные предприятием, должны быть защищены от неправомерного использования. Это требование вытекает и из 2 статьи основного закона – Конституции РФ, и из соответствующих статей трудового кодекса РФ, и, наконец, из Федерального Закона № 152 «О персональных данных».
Казалось бы, что после выхода закона РФ № 152 в далеком 2006 году, соответствующих постановлений Правительства РФ, приказов федеральных служб, ответственных за методическое обеспечение и контроль выполнения данного закона, законопослушные предприятия должны были принять необходимые меры по защите персональных данных. Однако в полной и должной мере этого не случилось и по сей день.
Существует несколько причин, по которым этот Закон практически не выполняется:
Закон противоречив, некоторые его положения были абсурдны в момент его выхода при соотнесении с другими действующими правовыми документами и таковыми остались после многочисленных редакций. Есть положения Закона, которые логически находятся вне компетенции предприятий и не могут быть выполнены.
Защита персональных данных относится к сложной области информационной безопасности (персональные данные – это просто конкретный вид информации), малые и средние предприятия не могут позволить себе содержать специалистов в этой области. Даже при наличии специалистов техническая защита персональных данных требует дорогостоящей лицензии на проведение работ по защите конфиденциальной информации.
Привлечение системных интеграторов, имеющих лицензии на защиту конфиденциальной информации и защиту данных с помощью криптографических методов (шифрование данных), непомерно дорого в сравнении с действующими наказаниями для предприятий и должностных лиц за неисполнение закона.
Правовой нигилизм руководителей предприятий, четко понимающих необязательность исполнения Законов в современной России.
Двойные стандарты государственных органов, с одной стороны требующих выполнения закона подведомственными государственными и муниципальными учреждениями, а с другой стороны не обеспечивающих их бюджетными финансовыми средствами для его выполнения.
Не смотря на вышесказанное руководителям и собственникам предприятий все же придется принимать непростые решения:
Продолжать игнорировать требования закона. В этом случае они должны тщательно оценить принимаемый риск, так как неисполнение закона может привести к административному или уголовному преследованию именно руководителей. Адекватная оценка риска, выражаемая в вероятности полноценной проверки предприятия контролирующими органами, поможет выбрать правильную стратегию из двух возможных: что эффективнее, вложить средства в защиту персональных данных или в выплату штрафов государству и возможно в компенсацию нанесенного вреда физическим лицам.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.