Информационная безопасность школы

Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 26.01.2013
Размер файла 208,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

  • Содержание
  • Введение
  • Глава I. Теоретические основы обеспечения информационной безопасности в образовательных учреждениях
  • 1.1 История развития обеспечения информационной безопасности
  • 1.2 Нормативно-методические средства обеспечения информационной безопасности
  • Вывод по главе I
  • Глава II. Практический подход к обеспечению информационной безопасности в образовательных учреждениях
  • 2.1 Особенности обеспечения информационной безопасности в образовательных учреждениях
  • 2.2 Современное состояние обеспечения информационной безопасности в образовательных учреждениях
  • Выводы по главе II
  • Глава III. Анализ обеспечения информационной безопасности в образовательных учреждениях
  • 3.1 Проблемы обеспечения информационной безопасности в образовательных учреждениях
  • 3.2 Предложения по усовершенствованию обеспечения информационной безопасности в образовательных учреждениях
  • Вывод по главе III
  • Заключение
  • Список использованной литературы

Введение

Актуальность темы работы состоит в том, что информационные ресурсы в современном обществе играют не меньшую, а нередко и большую роль, чем ресурсы материальные. С позиций рынка информация давно уже стала товаром, и это обстоятельство требует интенсивного развития практики, промышленности и теории компьютеризации общества. Компьютер как информационная среда не только позволил совершить качественный скачек в организации промышленности, науки и рынка, но он определил новые само ценные области производства: вычислительная техника, телекоммуникации, программные продукты.

Применение услуг, предоставляемых глобальной информационно-коммуникационной сетью Интернет в педагогическом процессе несомненно можно назвать инновационной технологией. Но для того, чтобы правильно применять весь спектр открывшихся с появлением во многих школах доступа к сети возможностей, необходимо правильно представлять себе дидактические свойства, достоинства и ограничения новой технологии. На современном этапе в нашей стране практическое применение как компьютерных и сетевых технологий вообще, так и возможностей Интернет находится в зачаточном состоянии. Причин тому, на несколько. Во-первых, это общая компьютерная безграмотность педагогов, особенно старшего поколения. Преодолеть её достаточно сложно, ввиду необходимости длительного «общения с компьютером», играющего важную роль на начальных этапах усвоения основ компьютерной грамотности. В связи с высокой ценой компьютера, средний педагог такой возможности лишён. Не на руку в решении этой и других проблем играет неполная, односторонняя компьютерная грамотность молодого поколения школьников, сводящаяся зачастую лишь к умению включить компьютер, запустить на нём любимую игру или в лучшем случае набрать и распечатать текст. Во-вторых, это репутация Интернет в среде педагогов и родителей, как источника рефератов, сочинений, самостоятельных работ, к которым сам ученик не прикладывает труда. Кроме того, ресурсы порнографической, антигуманной и связанной с насилием тематики имеются в свободном доступе, сводя на нет усилия педагогов и родителей по ограничению контакта с подобной информацией в жизни. Интернет-преступность так же не призрак: действия, угрожающие длительным лишением свободы вполне может совершить и школьник со своего домашнего компьютера.

Целью данной работы является показать пути преодоления вышеназванных трудностей и предложить разработку по вопросам информационной безопасности общеобразовательного учебного заведения.

В соответствии с поставленной целью задачи работы предусматривают:

1. Характеристика теоретических основ обеспечения информационной безопасности в образовательных учреждениях

2. Анализ подхода к обеспечению информационной безопасности в образовательных учреждениях

3. Предложения по вопросам обеспечения информационной безопасности в образовательных учреждениях

Глава I. Теоретические основы обеспечения информационной безопасности в образовательных учреждениях

1.1 История развития обеспечения информационной безопасности

Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть речевой, телекоммуникационной, документированной.

Информационные процессы - процессы сбора, накопления, обработки хранения, распределения и поиска информации.

Информационная система- совокупность документов и массивов документов и информационных технологий.

Информационными ресурсами называют документы или массив документов существующие отдельно или в составе информационной системы.

Процесс создания оптимальных условий для удовлетворения информационных потребностей граждан, организаций, общества и государства называется информатизацией.

Информатизация разделяется на открытую и ограниченного доступа.

Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования. Собственник информационных ресурсов, технологий и систем - субъект с правом владения, пользования и распределения указанных объектов. Владельцем ресурсов, технологий и систем является субъект с полномочиями владения и пользования указанными объектами. Под пользователем понимается субъект обращающийся к информационной системе за получением нужной информации и пользующегося ею.

К защищаемой относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, выдвигаемыми собственником информации.

Под утечкой информации понимают неконтролируемое распространение защищенной информации путем ее разглашения, несанкционированного доступа и получение разведчиками. Несанкционированный доступ - получение защищенной информации заинтересованным субъектом с нарушением правилом доступа к ней.

Несанкционированное воздействие на защищенную информацию это воздействие с нарушением правил ее изменения (например подмена электронных документов). Под непреднамеренным воздействием на защищенную информацию понимается воздействие на нее из-за ошибок пользователя, сбой техники, или программных средств, природных явлений и других непреднамеренных воздействий( например уничтожение документа на накопителе на жестком диске).

Целью защиты информации является предотвращение нанесения ущерба пользователю, владельцу или собственнику. Под эффективностью защиты информации понимается степень соответствия результатов защиты поставленной цели. Объектом защиты может быть информация, ее носитель, информационный процесс, в отношении которого необходимо производить защиту в соответствии с поставленными целями.

Конфиденциальность информации - это известность ее содержания только имеющим, соответствующие полномочия субъект.

Шифрование информации это преобразование информации, в результате, которого содержание информации становится непонятным для субъекта, не имеющего соответствующего доступа. Результат шифрования называется шифротекстом.

Под угрозой информационной безопасности в компьютерной системе понимают события или действия которые могут вызвать изменения функционирования КС, связанные с нарушением защищенности информации обрабатываемой в ней.

Уязвимость информации - это возможность возникновения на каком либо этапе жизненного цикла КС такого ее состояния при котором создастся условия для реальной угрозы безопасности в ней

Атака это действие предпринимаемое нарушителем, в поиске и использовании той или иной уязвимости. Угрозы могу быть разделены на угрозы независящие от деятельности человека и искусственный угрозы, связанные с деятельностью человека. Искусственные угрозы в свою очередь делятся на непреднамеренные (ошибки в проектировании, ошибки в работе программных средств) и преднамеренные (несанкционированный доступ, несанкционированные действия). Результатом реализации угроз может быть утечка, искажение или утрата информации.

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие (как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.

К основным аппаратным средствам защиты информации относятся: устройства ввода идентифицирующий пользователя информации; устройства шифрования информации; устройства для воспрепятствования несанкционированному включению рабочих станций серверов

Под программными средствами информационной безопасности понимают специальные программные средства, включаемые в состав программного обеспечения КС исключительно для выполнения защитах функций. К основным программным средствам защиты информации относятся: программы идентификации аутентификации пользователей КС; программы разграничения доступа пользователе к ресурсам КС; программы от несанкционированного доступа, копирования изменения и использования.

Под идентификацией пользователя, применительно к обеспечению безопасности КС, однозначное распознание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует именно данному субъекту.

В онлайновом словаре Мерриама-Вебстера (Merriam-Webster) дается следующее определение информации:

сведения, полученные при исследовании, изучении или обучении;

известия, новости, факты, данные;

команды или символы представления данных (в системах связи или в компьютере);

знания (сообщения, экспериментальные данные, изображения), меняющие концепцию, полученную в результате физического или умственного опыта.

Безопасность определяется следующим образом: свобода от опасности, сохранность; свобода от страха или беспокойства.

Если мы объединим эти два понятия вместе, то получим определение информационной безопасности - меры, принятые для предотвращения несанкционированного использования, злоупотребления, изменения сведений, фактов, данных или аппаратных средств либо отказа в доступе к ним.

Как следует из определения, информационная безопасность не обеспечивает абсолютную защиту. Вы построите самую прочную крепость в мире - и тут же появится кто-то с еще более мощным тараном. Информационная безопасность - это предупредительные действия, которые позволяют защитить информацию и оборудование от угроз и использования их уязвимых мест.

Способы защиты информации и других ресурсов постоянно меняются, как меняется наше общество и технологии. Очень важно понять это, чтобы выработать правильный подход к обеспечению безопасности. Поэтому давайте немного познакомимся с ее историей, чтобы избежать повторения прошлых ошибок.

На заре цивилизации ценные сведения сохранялись в материальной форме: вырезались на каменных табличках, позже записывались на бумагу. Для их защиты использовались такие же материальные объекты: стены, рвы и охрана.

К сожалению, физическая защита имела один недостаток. При захвате сообщения враги узнавали все, что было написано в нем. Еще Юлий Цезарь принял решение защищать ценные сведения в процессе передачи. Он изобрел шифр Цезаря Этот шифр позволял посылать сообщения, которые никто не мог прочитать в случае перехвата.

Данная концепция получила свое развитие во время Второй мировой войны. Германия использовала машину под названием Enigma для шифрования сообщений, посылаемых воинским частям.

Немцы считали, что машину Enigma практически невозможно было взломать. Ее действительно было бы очень трудно взломать - если бы не ошибки операторов, позволившие союзникам прочитать некоторые сообщения. В военном деле обычно применяли кодовые слова для обозначения географических пунктов и боевых подразделений. Япония заменяла названия кодовыми словами, так что понять их сообщения было очень сложно даже после взлома шифровального кода.

Если не считать ошибок при использовании шифровальных систем, сложный шифр очень трудно взломать. Поэтому шел постоянный поиск других способов перехвата информации, передаваемой в зашифрованном виде.

В 1950 г. было установлено, что доступ к сообщениям возможен посредством просмотра электронных сигналов, возникающих при их передаче по телефонным линиям. Работа любых электронных систем сопровождается излучением, в том числе телетайпов и блоков шифрования, используемых для передачи зашифрованных сообщений. Блок шифрования посылает зашифрованное сообщение по телефонной линии, а вместе с ним передается и электрический сигнал от исходного сообщения. Следовательно, при наличии хорошей аппаратуры исходное сообщение можно восстановить.

При передаче сообщений по телеграфу достаточно было обеспечить защиту коммуникаций и излучения. Затем появились компьютеры, на которые были перенесены в электронном формате информационные ресурсы организаций. Спустя какое-то время работать на компьютерах стало проще, и многие пользователи научились общаться с ними в режиме интерактивного диалога. К информации теперь мог обратиться любой пользователь, вошедший в систему. Возникла потребность в защите компьютеров.

В начале 70-х гг. XX века Дэвид Белл и Леонард Ла Падула разработали модель безопасности для операций, производимых на компьютере. Эта модель базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска. Если человек (субъект) имел уровень допуска выше, чем уровень файла (объекта) по классификации, то он получал доступ к файлу, в противном случае доступ отклонялся. Эта концепция нашла свою реализацию в стандарте 5200.28 «Trusted Computing System Evaluation Criteria» (TCSEC) («Критерий оценки безопасности компьютерных систем»), разработанном в 1983 г. Министерством обороны США. Из-за цвета обложки он получил название «Оранжевая книга». «Оранжевая книга» ранжировала компьютерные системы в соответствии со следующей шкалой.

D Минимальная защита (ненормируемая)

C1 Защита по усмотрению

C2 Контролируемая защита доступа

B1 Защита с метками безопасности

B2 Структурированная защита

B3 Защита доменов

A1 Проверяемая разработка

«Оранжевая книга» определяла для каждого раздела функциональные требования и требования гарантированности. Система должна была удовлетворять этим требованиям, чтобы соответствовать определенному уровню сертификации.

Выполнение требований гарантированности для большинства сертификатов безопасности отнимало много времени и стоило больших денег. В результате очень мало систем было сертифицировано выше, чем уровень С2 (на самом деле только одна система за все время была сертифицирована по уровню А1 - Honeywell SCOMP). За то время, которое требовалось системам для прохождения сертификации, они успевали устареть.

При составлении других критериев были сделаны попытки разделить функциональные требования и требования гарантированности. Эти разработки вошли в «Зеленую книгу» Германии в 1989 г., в «Критерии Канады» в 1990 г., «Критерии оценки безопасности информационных технологий» (ITSEC) в 1991 г. и в «Федеральные критерии» (известные как Common Criteria - «Общие критерии») в 1992 г. Каждый стандарт предлагал свой способ сертификации безопасности компьютерных систем. ITSEC и Common Criteria продвинулись дальше остальных, оставив функциональные требования фактически не определенными.

Современная концепция безопасности воплощена в «Общих критериях». Главная идея сосредоточена в так называемых профилях защиты, определяющих различные среды безопасности, в которые может быть помещена компьютерная система. Продукты проходят оценку на соответствие этим профилям и сертифицируются. При покупке системы организация имеет возможность выбрать профиль, наиболее полно соответствующий ее потребностям, и подобрать продукты, сертифицированные по этому профилю. Сертификат продукта включает также уровень доверия, т. е. уровень секретности, заложенный оценщиками, соответствующий профилю функциональных возможностей.

Технологии компьютерных систем слишком быстро развиваются по сравнению с программой сертификации. Возникают новые версии операционных систем и аппаратных средств и находят свои рынки сбыта еще до того, как более старшие версии и системы проходят сертификацию.

Одна из проблем, связанных с критериями оценки безопасности систем, заключалась в недостаточном понимании механизмов работы в сети. При объединении компьютеров к старым проблемам безопасности добавляются новые. Да, мы имеем средства связи, но при этом локальных сетей гораздо больше, чем глобальных. Скорости передачи стали выше, появилось множество линий общего пользования. Шифровальные блоки иногда отказываются работать. Существует излучение от проводки, проходящей по всему зданию. И, наконец, появились многочисленные пользователи, имеющие доступ к системам. В «Оранжевой книге» не рассматривались проблемы, возникающие при объединении компьютеров в общую сеть. Сложившееся положение таково, что наличие сети лишает законной силы сертификат «Оранжевой книги». Ответной мерой стало появление в 1987 г. TNI (Trusted Network Interpretation), или «Красной книги». В «Красной книге» сохранены все требования к безопасности из «Оранжевой книги», сделана попытка адресации сетевого пространства и создания концепции безопасности сети. К сожалению, и «Красная книга» связывала функциональность с гарантированностью. Лишь некоторые системы прошли оценку по TNI, и ни одна из них не имела коммерческого успеха.

В наши дни проблемы стали еще серьезнее. Организации стали использовать беспроводные сети, появления которых «Красная книга» не могла предвидеть. Для беспроводных сетей сертификат «Красной книги» считается устаревшим.

Защита информации

Итак, куда же нас привела история? Создается впечатление, что ни одно из решений не устраняет проблем безопасности. В реальной жизни надежная защита - это объединение всех способов защиты. Надежная физическая защита необходима для обеспечения сохранности материальных активов - бумажных носителей и систем. Защита коммуникаций (COMSEC) отвечает за безопасность при передаче информации. Защита излучения (EMSEC) необходима, если противник имеет мощную аппаратуру для чтения электронной эмиссии от компьютерных систем. Компьютерная безопасность (COMPUSEC) нужна для управления доступом в компьютерных системах, а безопасность сети (NETSEC) - для защиты локальных сетей. В совокупности все виды защиты обеспечивают информационную безопасность (INFOSEC).

До настоящего времени не разработан процесс сертификации компьютерных систем, подтверждающий обеспечиваемую безопасность. Для большинства предлагаемых решений технологии слишком быстро ушли вперед. Лабораторией техники безопасности США (Underwriters Laboratory) была предложена новая концепция безопасности, согласно которой необходимо создать центр сертификации, удостоверяющий безопасность различных продуктов. Если совершено проникновение в систему, пользователи которой работали с несертифицированным продуктом, то это следует расценивать как халатное отношение к безопасности администраторов этой системы.

К сожалению, эта концепция создает две проблемы.

Темп развития технологий ставит под сомнение тот факт, что центр представит самые лучшие сертифицированные продукты, прежде чем они станут устаревшими.

Чрезвычайно трудно, почти невозможно доказать, будто что-то надежно защищено. Фактически центр сертификации должен опровергнуть тот факт, что систему можно взломать. Что делать, если завтра все существующие сертификаты устареют? Придется сертифицировать все системы заново?

Поскольку промышленность продолжает поиск новых решений, остается определить безопасность как лучшее, что можно сделать. Безопасность достигается через повседневную практику и постоянную бдительность

Очевидно, что нельзя полагаться на один вид защиты для обеспечения безопасности информации. Не существует и единственного продукта, реализующего все необходимые способы защиты для компьютеров и сетей. К сожалению, многие разработчики претендуют на то, что только их продукт может справиться с этой задачей. На самом деле это не так. Для всесторонней защиты информационных ресурсов требуется множество различных продуктов.

Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности. Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Особенностями современных информационных технологий являются: увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений; территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами; усложнение программных и аппаратных средств компьютерных систем; накопление и длительное хранение больших массивов данных на электронных носителях; интеграция в единую базу данных информацию различной направленности различных методов доступа; непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе; рост стоимости ресурсов компьютерных систем.

Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

Существует несколько средств обеспечения информационной безопасности.

Антивирусное программное обеспечение является неотъемлемой частью надежной программы безопасности. При его правильной настройке значительно уменьшается риск воздействия вредоносных программ (хотя и не всегда - вспомните про вирус Melissa).

Но никакая антивирусная программа не защитит организацию от злоумышленника, использующего для входа в систему законную программу, или от легального пользователя, пытающегося получить несанкционированный доступ к файлам

Любая компьютерная система в пределах организации ограничивает доступ к файлам, идентифицируя пользователя, который входит в систему. При правильной настройке системы, при установке необходимых разрешений для легальных пользователей существует ограничение на использование файлов, к которым у них нет доступа. Однако система управления доступом не обеспечит защиту, если злоумышленник через уязвимые места получит доступ к файлам как администратор. Такое нападение будет считаться легальными действиями администратора.

Межсетевой экран (firewall) - это устройство управления доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Правильно сконфигурированный межсетевой экран является важнейшим устройством защиты. Однако он не сможет предотвратить атаку через разрешенный канал связи. Например, при разрешении доступа к веб-серверу с внешней стороны и наличии слабого места в его программном обеспечении межсетевой экран пропустит эту атаку, поскольку открытое веб-соединение необходимо для работы сервера. Межсетевой экран не защитит от внутренних пользователей, поскольку они уже находятся внутри системы. Под внутреннего пользователя может замаскироваться злоумышленник. Рассмотрим организацию, имеющую беспроводные сети. При неправильной настройке внутренней беспроводной сети злоумышленник, сидя на стоянке для автомобилей, сможет перехватывать данные из этой сети, при этом его действия будут выглядеть как работа пользователя внутри системы. В этом случае межсетевой экран не поможет.

Аутентификация (установление подлинности) личности может быть выполнена при использовании трех вещей: того, что вы знаете, того, что вы имеете, или того, чем вы являетесь. Исторически для идентификации личности в компьютерных системах применялись пароли (то, что вы знаете). Но оказалось, что надеяться на пароли особо не следует. Пароль можно угадать, либо пользователь запишет его на клочке бумаги - и пароль узнают все. Решает эту проблему применение других методов аутентификации.

Для установления личности используются смарт-карты (они - то, что вы имеете), и таким образом уменьшается риск угадывания пароля. Однако если смарт-карта украдена, и это - единственная форма установления подлинности, то похититель сможет замаскироваться под легального пользователя компьютерной системы. Смарт-карты не смогут предотвратить атаку с использованием уязвимых мест, поскольку они рассчитаны на правильный вход пользователя в систему.

Биометрические системы - еще один механизм аутентификации (они - то, чем вы являетесь), значительно уменьшающий вероятность угадывания пароля. Существует множество биометрических сканеров для верификации следующего:

отпечатков пальцев;

сетчатки/радужной оболочки;

отпечатков ладоней;

конфигурации руки;

конфигурации лица;

голоса.

Каждый метод предполагает использование определенного устройства для идентификации человеческих характеристик. Обычно эти устройства довольно сложны, чтобы исключить попытки обмана. Например, при снятии отпечатков пальцев несколько раз проверяются температура и пульс. При использовании биометрии возникает множество проблем, включая стоимость развертывания считывающих устройств и нежелание сотрудников их использовать.

Системы обнаружения вторжения (Intrusion Detection System, IDS) неоднократно рекламировались как полное решение проблемы безопасности. Нашим компьютерам больше не нужна защита, теперь легко определить, что в системе кем-то выполняются недозволенные действия, и остановить его! Многие IDS позиционировались на рынке как системы, способные остановить атаки до того, как они успешно осуществятся. Кроме того, появились новые системы - системы предотвращения вторжения (Intrusion Prevention System, IPS). Следует заметить, что никакая система обнаружения вторжения не является устойчивой к ошибкам, она не заменит надежную программу безопасности или практику безопасности. С помощью этих систем нельзя выявить законных пользователей, пытающих получить несанкционированный доступ к информации.

Системы обнаружения вторжения с автоматической поддержкой защиты отдельных участков создают дополнительные проблемы. Представьте, что система IDS настроена на блокировку доступа с предполагаемых адресов нападения. В это время ваш клиент сгенерировал трафик, который по ошибке был идентифицирован системой как возможная атака.

Сканирование компьютерных систем на наличие уязвимых мест играет важную роль в программе безопасности. Оно позволит выявить потенциальные точки для вторжения и предпринять немедленные меры для повышения безопасности. Однако такое исследование не остановит легальных пользователей, выполняющих несанкционированный доступ к файлам, не обнаружит злоумышленников, которые уже проникли в систему через «прорехи» в конфигурации.

Шифрование - важнейший механизм защиты информации при передаче. С помощью шифрования файлов можно обеспечить также безопасность информации при хранении. Однако служащие организации должны иметь доступ к этим файлам, а система шифрования не сможет различить законных и незаконных пользователей, если они представят одинаковые ключи для алгоритма шифрования. Для обеспечения безопасности при шифровании необходим контроль за ключами шифрования и системой в целом.

Физическая защита - единственный способ комплексной защиты компьютерных систем и информации. Ее можно выполнить относительно дешево. Для этого выройте яму глубиной 20 метров, поместите в нее важные системы и сверху залейте бетоном. Все будет в полной безопасности! К сожалению, появятся проблемы с сотрудниками, которым нужен доступ к компьютерам для нормальной работы.

Даже при наличии механизмов физической защиты, тщательно расставленных по своим местам, вам придется дать пользователям доступ к системе - и ей скоро придет конец! Физическая защита не предотвратит атаку с использованием легального доступа или сетевую атаку.

1.2 Нормативно-методические средства обеспечения информационной безопасности

Одним из следствий технического прогресса стало активное внедрение информации в экономический оборот. Это привело к образованию специфического информационного рынка, началось становление информационного общества. В наше время невозможно представить успешную экономику без развитой системы информационных сетей, их активного использования производителями и потребителями. Информация (и как следствие информатизация) на деле доказали свои возможности в сферах расширения производства и обеспечения роста благосостояния общества, при решении иных социальных задач.

Нормативно-правовую базу правоотношений, связанных с информацией, составляют:

· Гражданский кодекс Российской Федерации (его значение в этом направлении повышается в связи со вступлением в силу с 1 января 2008 г. части четвёртой, посвящённой объектам интеллектуальной собственности);

· Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

· Указ Президента РФ от 12 мая 2004 г. N 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изм. и доп. от 22 марта 2005 г., 3 марта 2006 г.)

· Указ Президента РФ от 31 декабря 1993 г. N 2334 «О дополнительных гарантиях прав граждан на информацию» (с изм. и доп. от 17 января 1997 г., 1 сентября 2000 г.)

· Указ Президента РФ от 22 декабря 1993 г. N 2255 «О совершенствовании государственного управления в сфере массовой информации» (с изм. и доп. от 6 апреля 1999 г., 9 августа 2000 г.)

· Указ Президента РФ от 12 мая 1993 г. N 663 «О мерах по созданию единого эталонного банка данных правовой информации»

· Постановление Правительства РФ от 31 августа 2006 г. N 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»

· Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации»

Основные понятия, связанные с информацией и информатизацией, определяет Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» в ст. 2:

1) информация - сведения (сообщения, данные) независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использования;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Согласно ст. 3 названного Закона, правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Проанализируем основные подходы к пониманию информации (и её производных) как объекта правового регулирования.

Гражданский кодекс РФ (ст. 128) относит и информацию к объектам гражданских прав наряду с вещами и иным имуществом, в частности имущественными правами; работами и услугами; результатами интеллектуальной деятельности, в том числе исключительными правами на них (интеллектуальной собственностью); нематериальными благами.

Но любая ли информация является объектом гражданского оборота и соответственно гражданского права? Как определяется ее правовой режим - по модели классических вещных или исключительных прав либо возникает некое относительное правоотношение? На чем основана монополия обладателя информации? Информация обладает особыми свойствами, отличающими ее от всех остальных объектов гражданских прав, для нее необходим особый правовой режим. Одна из существующих классификаций подразделяет информацию в зависимости от возможности свободного доступа к ней третьих лиц на общедоступную и необщедоступную.

Общедоступную информацию составляют сведения, открытые для ознакомления, познания. Такая информация не становится объектом гражданского права, так как к ней нельзя ограничить доступ всех желающих: она может свободно (без чьего бы то ни было разрешения) и безвозмездно использоваться и распространяться любым лицом. Установление на такие сведения вещного или традиционного исключительного права невозможно.

Необщедоступной информацией соответственно считается та, доступ к которой ограничен или конфиденциальность которой специально охраняется законом. Она представляет особую ценность для товарного экономического оборота именно в силу ее неизвестности третьим лицам.

Таким образом, объектом гражданского оборота является информация с определенными характеристиками: а) представляющая собой особый товар, реализуемый в рамках экономического оборота и имеющий потенциальную или действительную коммерческую ценность (за исключением служебной информации, которая не всегда обладает указанным признаком); б) необщедоступная.

Поиск и предоставление общедоступных данных осуществляется на другой основе, в частности на основе возмездного оказания услуг, так как эта работа сложна и требует профессионализма. «Возникают обязательственные отношения, которые основаны на комфортности в получении информационных услуг. Комфортность доступа представляет собой ослабленную монополию, которая выступает не самостоятельно, а в сочетании с основанными на ней обязательствами» Дозорцев В.А. Понятие исключительного права // Юридический мир. 2000. N 3. С.4-11; N 6. С.25-35.. Вместе с тем, общедоступная и общеизвестная информация также может иметь коммерческую ценность. Подготовленная для конкретного потребителя в соответствии с его запросами и в удобной для него форме, она становится объектом гражданского права, т.е. выполняется необходимое условие ее обращения на рынке в качестве товара. Поэтому такую информацию не следует исключать из числа объектов, входящих в понятие информации как объекта гражданских прав. Обязательство по передаче всегда обособляет, индивидуализирует этот продукт.

Законодатель в ст. 128 ГК РФ не раскрыл точный смысл понятия информации в качестве объекта гражданских прав, лишь упомянув о ней при перечислении («К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация...»). Полагаем, терминологически более корректно говорить об «информационном продукте» как объекте гражданских прав.

Статья 128 не единственная в ГК РФ, упоминающая об информации. В частности, в ст. 139 ГК РФ речь идет об информации, составляющей служебную или коммерческую тайну. Сведения признаются таковыми при выполнении следующих условий: а) они обладают действительной или потенциальной коммерческой ценностью в силу неизвестности третьим лицам; б) к ним нет свободного доступа на законном основании; в) обладатель принимает меры к охране конфиденциальности этих сведений. При отсутствии хотя бы одного из этих признаков информация не может ни считаться составляющей служебную или коммерческую тайну, ни претендовать на обеспечение соответствующей правовой охраны. Каждый из перечисленных признаков подразумевает, что информация неизвестна третьим лицам. По мнению Э. Гаврилова, «…достаточно указать, что эта информация является неопубликованной. Никакими другими признаками тайна не может быть охарактеризована... так как ценность информации устанавливается лишь в ходе ее использования. До начала фактического использования ценность информации нельзя определить» Гаврилов Э.П. К вопросу об охране коммерческой, служебной и личной тайны. Гражданско-правовые аспекты // Хозяйство и право. 2003. N 5. С.29-30..

От конфиденциальной надо отграничивать секретную информацию, которая призвана обеспечивать не потребности ее обладателя, а общественную безопасность и имеет не частный, а публичный характер. Точно так же надо отличать конфиденциальную информацию как широкое понятие, подразумевающее отсутствие общедоступности, от ее разновидностей - служебной и коммерческой информации, выделяемых по дополнительным признакам.

Так, в случае коммерческой информации основанием для установления статуса конфиденциальности является ее действительная или потенциальная коммерческая ценность в силу неизвестности третьим лицам. Коммерческая информация по своему содержанию значительно шире, чем «ноу-хау», так как под ней понимаются сведения не только о совершении действий, но и о фактических обстоятельствах, а также имеющие лишь информационное или познавательное значение, не несущие непосредственных рекомендаций.

Какие права на информацию возникают у ее обладателя? Некоторый авторы рассматривают ее как объект права собственности. Указанная точка зрения находит подтверждение и в правовых актах. Известные юристы, занимающиеся вопросами интеллектуальной собственности (В.А. Дозорцев, А.П. Сергеев, В.О. Калятин), полагают, что на коммерческую, служебную информацию и на секреты промысла с момента их появления возникает некое исключительное право, хотя и ослабленное, действующее в зависимости от источника получения, но обращенное и к третьим лицам, а не только к контрагенту по договору. Его вполне правомерно считать квазиабсолютным правом. По мнению В. Дозорцева, абсолютное и исключительное права отличаются только пределами действия. Абсолютное право имеет неограниченную силу, исключительное может быть и ограниченным. Общее у них одно - они действуют в отношении третьих лиц, с которыми их обладатели не состоят в обязательственных связях. Пределы определяются субъектным составом - количеством лиц, предоставлявших информационный продукт, и сферой его распространения. Абсолютное право субъекта на личную сферу вообще и на результаты своей деятельности в частности лежит в основе всех, в том числе исключительных, прав на объект, эти последние являются фундаментом всех остальных прав, включая и обязательственные Дозорцев В.А. Информация как объект исключительного права // Дело и право. 1996. N 4. С.27-35, 38.

Противоположную позицию занимает Э.П. Гаврилов. По его мнению, тайна как объект гражданского права, пока она доступна только ее владельцу, не может быть охарактеризована никакими иными признаками, кроме признака ее неизвестности третьим лицам. В связи с этим приходится признать, что тайна не является объектом гражданского права, и конструирование в этом случае какого-либо исключительного права ошибочно, ибо приводит к появлению безобъектных гражданских прав Гаврилов Э.П. К вопросу об охране коммерческой, служебной и личной тайны. Гражданско-правовые аспекты // Хозяйство и право. 2003. N 5. С.30. И.А. Зенин, хотя и отрицает возникновение исключительного права на «ноу-хау», тем не менее говорит о наличии фактической монополии. Э.П. Гаврилов же полагает, что в сфере гражданского права выражение «фактическая монополия» применимо только к материальному объекту.

А.Б. Венгеров писал об обособлении права на информацию от права собственности и права интеллектуальной собственности. В праве на информацию он выделял правомочия на доступ к информации, на ознакомление с информацией, разъяснение информации, получение копий документов, справок. И.Л. Бачило, не оспаривая возможности применения прав вещной и интеллектуальной собственности для регулирования отношений в сфере обращения информации, предлагает одновременное использование возможностей этих институтов права, выступая с концепцией «двойной защиты» такой информации и прав на нее. Бачило И.Л. Информационные ресурсы как объект права и отношений, регулируемых ГК РФ // Информационные ресурсы России.1999. N 1; Копылов В.А. Информация как объект гражданского права; проблемы, дополнения Гражданского кодекса РФ // Там же. 1998. N 5.

Можно констатировать, что учеными не выработано единого мнения о природе права, возникающего у обладателя информации относительно ее содержания.

Общий принцип использования нематериальных объектов в гражданском обороте заключается в том, что любой такой объект может быть использован совершенно свободно, без чьего бы то ни было разрешения и без выплаты вознаграждения, если закон не оговаривает специального запрета (например, в случае действия авторского или патентного права, которое порождает полноценное абсолютное право). Запрет, хотя и несколько иной по характеру, устанавливает и система конфиденциальности, основанная на недопущения вторжения в личную сферу.

Вывод по главе I:

Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования. К защищаемой относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, выдвигаемыми собственником информации.

Право на информацию, как и иные исключительные права, по своей природе является абсолютным правом, иначе оно не могло бы выполнять свои функции основы экономического оборота. И это тоже закрепление монополии. Но такая монополия может быть основана на конфиденциальности, она существует только в отношении неопубликованной информации, обладатели которой приняли меры к сохранению ее конфиденциальности. Исключительное право на распространение информации никак иначе не закрепляется - только через неприкосновенность личной сферы. Объектом правоотношения по предоставлению и получению охраняемой кем-либо информации становится не сама эта информация, а возможности, образующие субъективное право на сохранение конфиденциальности определенных сведений, проявляющиеся в распоряжении субъекта неотделимыми от него личными качествами - сведениями, знаниями, навыками, способностями к оказанию услуг, работ и т.д.

Глава II. Практический подход к обеспечению информационной безопасности в образовательных учреждениях

2.1 Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида

информационный безопасность образовательный

Дадим предварительно классификацию общеобразовательных учебных заведений.

Общеобразовательные программы начального общего, основного общего, среднего (полного) общего образования реализуются в государственных образовательных учреждениях для детей дошкольного и младшего школьного возраста, общеобразовательных учреждениях, вечерних (сменных) общеобразовательных учреждениях, общеобразовательных школах-интернатах, оздоровительных образовательных учреждениях санаторного типа, образовательных учреждениях для детей-сирот и детей, оставшихся без попечения родителей, специальных (коррекционных) образовательных учреждениях, специальных учебно-воспитательных учреждениях для детей и подростков с девиантным поведением, кадетских школах (кадетских школах-интернатах) в порядке, установленном типовыми положениями о соответствующих типах и видах образовательных учреждений

Прогимназия - вид государственного образовательного учреждения для детей дошкольного и младшего школьного возраста, реализующего общеобразовательные программы дошкольного и начального общего образования с приоритетным осуществлением одного или нескольких направлений развития воспитанников и обучающихся (интеллектуального, художественно-эстетического, физического и других) и обеспечивающего их разносторонним образованием, позволяющим продолжить обучение в общеобразовательном учреждении любого вида.

Кадетская школа - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы начального общего, основного общего и среднего (полного) общего и дополнительного образования, обеспечивающие подготовку обучающихся к служению Отечеству на гражданском и военном поприще.

Кадетская школа-интернат - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы основного общего и среднего (полного) общего и дополнительного образования, обеспечивающие подготовку обучающихся к служению Отечеству на гражданском и военном поприще.

Средняя общеобразовательная школа с углубленным изучением отдельных предметов - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы начального общего, основного общего и среднего (полного) общего образования и обеспечивающего дополнительную (углубленную) подготовку обучающихся по одному или нескольким предметам начиная с I (II), V-VI (VII), VII (VIII) класса.

Гимназия - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы основного общего и среднего (полного) общего образования и обеспечивающего подготовку обучающихся к активному интеллектуальному труду, творческой и исследовательской деятельности в различных областях фундаментальных наук на основе интеграции содержания гуманитарного образования. Обучение в гимназии начинается с V класса.

Лицей - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы основного общего и среднего (полного) общего образования, обеспечивающего профильную подготовку обучающихся VIII-XI, IX-XI, X-XI классов и, по решению городского органа управления образованием, VII-XI классов и формирование у них навыков самостоятельной проектной и научно-исследовательской деятельности.

Средняя общеобразовательная школа с этнокультурным (национальным) компонентом образования - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы начального общего, основного общего и среднего (полного) общего образования и дополнительные образовательные программы по изучению национальных языков, истории, культуры и традиций народа - носителя языка.

Средняя общеобразовательная школа «Школа надомного обучения» - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы начального общего, основного общего и среднего (полного) общего образования и обеспечивающего лицам с ограниченными возможностями здоровья возможность получения в условиях, адекватных их физическим особенностям, образования в пределах государственных образовательных стандартов, а также социальную адаптацию и интеграцию в обществе (в соответствии с перечнем заболеваний, по которым детям рекомендуется индивидуальное обучение на дому).

Начальная общеобразовательная школа «Школа здоровья», основная общеобразовательная школа «Школа здоровья», средняя общеобразовательная школа «Школа здоровья», центр образования «Школа здоровья» - виды государственных общеобразовательных учреждений, реализующих программы дошкольного, начального общего, основного общего, среднего (полного) общего образования и обеспечивающих комплексное решение задач по образованию, оздоровлению обучающихся с проблемами здоровья и профилактике заболеваний.

11. Центр образования - вид государственного общеобразовательного учреждения, реализующего общеобразовательные программы дошкольного, начального общего, основного общего, среднего (полного) общего образования, программы профессиональной подготовки обучающихся и дополнительного образования на основе преемственности, непрерывности, доступности и личной ориентации обучающихся с учетом образовательных запросов населения Педагогика /под ред. А.А. Радугина. М.: Центр, 2001 - С.148; Загвоздкин В. Как оценить работу школы, если школа - вальдорфская // Вопросы образования. 2001. № 7. С. 10-18..


Подобные документы

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

    статья [15,9 K], добавлен 24.09.2010

  • Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

    курсовая работа [605,0 K], добавлен 23.04.2015

  • Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.

    курс лекций [52,7 K], добавлен 17.04.2012

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.