Поиск информации по страховым взносам

Параметры	СПС «Гарант»	СПС «КонсультантПлюс»
Сравнение информационных банков данных	887 документов	1402 документа
Простота и удобство поиска информации	Поиск информации использует вариантов: по базе документов, на сайте, прайм, на форуме Гарант	Используется 2 варианта поиска - быстрый поиск «в интернет-версии», и «на сайте»
Обновление вашей справочно-правовой системы	Индивидуальная новостная лента	Один раз в неделю (курьером) и ежедневное интернет-пополнение
Как документ попадает в СПС	Из официальных публикаторов	Из официальных публикаторов

 

 

35. Информационная безопасность: понятие, задачи, объекты и методы ее обеспечения.

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Основные цели достижения высокого уровня информационной безопасности – это обеспечение конфиденциальности, целостности, доступности, подлинности и неотказуемости информации.    

Общие методы информационной безопасности РФ разделяются на:

· Правовые

· Организационно-технические

· Экономические.

К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности РФ; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

 

36. Правовое обеспечение информационной безопасности. Официальные органы, обеспечивающие информационную безопасность в Российской Федерации. Концепция национальной безопасности РФ и Доктрина информационной безопасности РФ.

 

Правовое обеспечение информац безоп-ти.

 

Уровни:

 

международ договоры;

 

национальный(конституция, законы);

 

подзаконные акты(постановление правительства, кт ввело в действие доктрину информац безоп-ти; указ президента «концепция национал безоп-ти»).

 

Концепция национальной безопасности Российской Федерации - система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности.

 

В Концепции национальной безопасности РФ существенно дополнены и конкретизированы положения, ранее закрепленные в Законе о безопасности. В Концепции введено понятие национальных интересов как совокупности сбалансированных интересов личности, общества и государства. При этом ограничен перечень областей, национальные интересы в которых определяют предмет национальной безоп-ти: в области экономики, в социальной, внутриполитической, международной, информационной сферах, в области военной (оборонной), пограничной и экологической безопасности. Интересы личности определены в Концепции как полное обеспечение конституционных прав и свобод, личной безопасности, повышение качества и уровня жизни, физическое, духовное и интеллектуальное развитие.

 

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

 

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

 

Акты федерального законодательства:

 

Международные договоры РФ;

 

Конституция РФ;

 

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

 

Указы Президента РФ;

 

Постановления правительства РФ;

 

Нормативные правовые акты федеральных министерств и ведомств;

 

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

 

К нормативно-методическим документам можно отнести:

 

- Методические документы государственных органов России;

 

- Доктрина информационной безопасности РФ;

 

- Руководящие документы ФСТЭК (Гостехкомиссии России);

 

- Приказы ФСБ;

 

- Стандарты информационной безопасности, из которых выделяют:

 

- Международные стандарты;

 

- Государственные (национальные) стандарты РФ;

 

- Рекомендации по стандартизации;

 

- Методические указания.

 

Официальные органы, обеспечивающие информационную безопасность в Российской Федерации.

 

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

 

Государственные органы РФ, контролирующие деятельность в области защиты информации:

 

- Комитет Государственной думы по безопасности;

 

- Совет безопасности России;

сейчас заново буду делать некоторые билеты

не восстановили половину данныых

Вопрос 37.. Уровни доступа к информации. Конфиденциальность. Несанкциони- рованный доступ. Права доступа

Вся информация с точки зрения права делится на несколько основных сегментов: 1) Информация без ограничения права доступа. К такого рода информации, например, относится: • информация общего пользования, Предоставляемая пользователям бесплатно (сюда не относится возможность скачать фильмы бесплатно); • информация о состоянии окружающей природной среды, ее загрязнении - сведения (данные), полученные в результате мониторинга окружающей природной среды, ее загрязнения (Федеральный закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия»); Информация, содержащая сведения об обстоятельствах и фактах, представляющих угрозу жизни, здоровью граждан, не подлежит засекречиванию, не может быть отнесена к тайне. 2) Информация с ограниченным доступом - государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, профессиональная тайна и персональные данные как институт охраны права неприкосновенности частной жизни. 3) Информация, распространение которой наносит вред интересам общества, законным интересам и правам граждан, - порнография; информация, разжигающая национальную, расовую и другую рознь; пропаганда(в т.ч. печать листовок) и призывы к войне, ложная реклама, реклама со скрытыми вставками и т.п. - так называемая «вредная» информация. 4) Объекты интеллектуальной собственности (то, что не может быть отнесено к информации с ограниченным доступом, но охраняется особым порядком через институты интеллектуальной собственности - авторское право, патентное право, средства индивидуализации и т. п. Исключение составляют ноу-хау, которые охраняются в режиме коммерческой тайны). 5) Иная общедоступная информация, среди которой ученые выделяют более 20 видов открытой общедоступной информации. К ограничениям и запретам следует отнести следующие перечни: 1. Перечень оснований для ограничения информационных прав: • защита основ конституционного строя; • защита нравственности, здоровья, прав, законных интересов других лиц; • обеспечение обороны страны и безопасности государства; • обеспечение общественного спокойствия в целях предотвращения беспорядков и борьбы с преступностью; 2. Перечень случаев прямого ограничения информационных прав: • использование прав в целях насильственного изменения конституционного строя; • пропаганда социальной ненависти, социального, расового, национального, религиозного, языкового превосходства, насилия и войны; • нарушение права на неприкосновенность частной жизни (на личную, семейную тайну), неприкосновенность жилища, права на уважение и защиту чести, достоинства и репутации, тайны переписки, телефонных переговоров, телеграфных и иных сообщений; 3. Перечень видов информации с ограниченным доступом: • государственная тайна; • служебная тайна; • коммерческая тайна; • банковская тайна; • профессиональная тайна; • персональные данные. 4. Перечень сведений, доступ к которым не может быть ограничен. Для реализации права на информацию в Конституции РФ заложены основания, по которым доступ к отдельным видам информации не подлежит какому-либо ограничению, например в статье 42 закреплено право на достоверную информацию о состоянии окружающей среды, которое не может быть ограничено. В случае возникновения угрозы жизни и здоровью людей должностные лица обязаны информировать население о ней под страхом привлечения к ответственности (часть 3 статьи 41).

 

Конфиденциа́льность (от англ. confidence — доверие) — необходимость предотвращения утечки (разглашения) какой-либо информации.

Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Причины несанкционированного доступа к информации

· ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных),

· слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников),

· ошибки в программном обеспечении,

· злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации),

Последствия несанкционированного доступа к информации[

· утечка персональных данных (сотрудников компании и организаций-партнеров),

· утечка коммерческой тайны и ноу-хау,

· утечка служебной переписки,

· утечка государственной тайны,

· полное либо частичное лишение работоспособности системы безопасности компании.

 

Права доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам) установленных правовыми документами или собственником, владельцем информации.

Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных. Для этого требуется некая система для предоставления субъектам различных прав доступа к объектам. Это система разграничения доступа субъектов к объектам, которая рассматривается в качестве главного средства защиты от несанкционированного доступа к информации или порче самой системы

38. Понятие защиты информации. Уровни защиты информации. Системы аутентификации.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

 

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

 

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

 

В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

1. что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);

2. как организован (и защищен) обмен данными идентификации/аутентификации.

Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:

1. нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

2. нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);

3. нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

 

Этапы аутентификации:

 

Процесс аутентификации пользователя компьютером можно разделить на два этапа:

1)  подготовительный - выполняется при регистрации пользователя в системе. Именно тогда у пользователя запрашивается образец аутентификационной информации, например, пароль или контрольный отпечаток пальца, который будет рассматриваться системой как эталон при аутентификации;

 

2)  штатный - образец аутентификационной информации запрашивается у пользователя снова и сравнивается с хранящимся в системе эталоном. Если образец схож с эталоном с заданной точностью - пользователь считается узнанным, в противном случае пользователь будет считаться чужим, результатом чего будет, скажем, отказ в доступе на компьютер.

39. Угрозы информационным системам и их виды. Программы-шпионы. Методы защиты информации.

 

Угроза – совокупность факторов и условий, возникающих в процессе взаимодействия объекта безопасности с другими объектами. Общая структура угрозы складывается из объекта угрозы. Ее источника и проявления угрозы.

 

Виды угроз информационным системам:

1.    Вирусы, троянские программы и интернет- черви;

2.    Неправомерные действия сотрудников с использованием информационных систем;

3.    Спам;

4.    Потеря конфиденциальности данных о клиентаx;

5.    DOS- атаки;

6.    Финансовое мошенничество с использованием ИС;

7.    Неправомерное использование ИТ-систем с вовлечением 3-х лиц;

8.    Физическая безопасности;

9.    Плохое качество ПО;

10.  Кража конфиденциальной информации.

 

Программы-шпионы:

1.  RootKit;

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

2.  снифферы (Нюхачи);

Снифферы - это программное обеспечение, которое позволяет просматривать содержимое сетевых пакетов, перехватывать трафик в сети и анализировать его.

3. DoS, DDoS;

Программы данного типа реализуют атаки на удаленные сервера, посылая на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).

DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер "жертв-посредников" и после запуска в зависимости от текущей даты или по команде от "хозяина" начинает DoS-атаку на указанный сервер в сети.

4. Nuker;

Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

5. Exploit, HackTool;

Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа "backdoor") или для внедрения во взломанную систему других вредоносных программ.

Хакерские утилиты типа "exploit" при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.