Определение понятия «информационная безопасность»

УДК 004.056(075.8)

ББК З 973.2–018 я 73

 

© ГОУ ВПО «Дальневосточный государственный
университет путей сообщения» (ДВГУПС), 2008

ВВЕДЕНИЕ

Потенциальные возможности развития основных сфер жизни общества и соответствующих компонентов обороноспособности определяются сос­тоянием информационных процессов. В настоящее время информация считается стратегическим национальным ресурсом – одним из основных богатств страны. Мировой объем производства информационной техники и информационных продуктов в конце 80-х годов превысил 500 млрд. долларов, а к 1995 году он достиг 1 трлн. долларов.

В развитых странах это производство занимает первое место как по объему, так и по числу занятых в нем людей. Под воздействием информатизации все сферы жизни общества (как и основная – экономическая) приобретают новые качества – гибкость, динамичность.

Однако одновременно возрастает и потенциальная уязвимость общественных процессов от информационного воздействия. Д. Паркер, меж­дународный эксперт по вопросам информатики считает, что на смену опас­ности возникновения ядерной катастрофы может прийти угроза развязывания войны, которая примет новые формы. Это будет борьба, направленная против стран, обладающих передовой технологией, в целях создания хаоса в информационных структурах и порождения экономической катастрофы.

Другие эксперты отмечают, что сбор экономической информации о конкурентах и защита собственных информационных ресурсов – главные задачи обеспечения безопасности экономики. Западные специалисты уверены, что в случае полного рассекречивания компьютерной информационной сети большая часть компаний будет разорена конкурентами за очень короткий промежуток времени.

Впервые в России понятие «информационная безопасность» было введено в 1990 г. в парламентской комиссии академика Ю.А. Рыжова, которая занималась разработкой концепции национальной безопасности страны. С тех пор созданы соответствующие структуры в Правительстве РФ, в Администрации Президента РФ, в Совете безопасности РФ, которые занимаются напрямую этими вопросами.

В 1996 г. создан парламентский подкомитет по информационной безопасности. Вопросы информационной безопасности заняли прочную строч­ку во всех посланиях Президента РФ, они вошли в Концепцию национальной безопасности, утвержденную 17 декабря 1997 г. и 10 января 2000 г.

Исходя из того, что информационная безопасность на рубеже третьего тысячелетия выходит на первое место в системе национальной безопасности, формирование и проведение единой государственной политики в этой сфере требует приоритетного рассмотрения.

Сегодня сложились две тенденции в органах государственной власти в определении понятия и структуры информационной безопасности. Предста­ви­тели гуманитарного направления связывают информационную безопасность только с институтом тайны.

Представители силовых структур предлагают распространить сферу информационной безопасности практически на все вопросы и отношения в информационной сфере, по сути, отождествляя информационную безопасность с информационной сферой. Истина, как всегда, лежит посредине.

Сегодня стал популярен афоризм «Кто владеет информацией, тот владеет миром».

Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности (экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и т. д.) по отношению к опасным, дестабилизирующим, инструктивным, ущемляющим интересы страны информационным воздействиям на уровне как внедрения, так и извлечения информации.

Информационная безопасность определяется способностью нейтрализовать такие воздействия.

Информационная безопасность личности характеризуется защищенностью психики и сознания от опасных информационных воздействий: мани­пулирования, дезинформирования, побуждения к самоубийству, оскорб­лений и т. п. Необходимо отметить, что информационные воздействия опасны (или полезны) не столько сами по себе, сколько тем, что «запускают» мощные вещественно-энергетические процессы, управляют ими.

Суть влияния информации как раз и заключается в ее способности «запускать» и контролировать вещественно-энергетические процессы, параметры которых на много порядков выше самой информации.

Системный подход к информационной безопасности требует определения ее субъектов, средств и объектов, принципов обеспечения, источников опасности, направленности опасных информационных потоков. Источники информационных опасностей могут быть естественными (объективными) и умышленными.

Первые возникают в результате непреднамеренных ошибок и неисправностей, случайных факторов, стихийных бедствий и др. Известно, нап­ример, что системы ПВО периодически выдают ложные сигналы тревоги из-за разнообразных технических сбоев, но по этим сигналам приводятся в высокую степень боеготовности стратегические ракеты, самолеты – носители ядерного оружия. Умышленные информационные воздействия осуществляются сознательно и целенаправленно. При этом часто используются средства массовой информации, радиоэлектронной борьбы (РЭБ), специальные программные средства для компьютеров. Они настолько эффективны, что их можно выделить как новый класс оружия – информационный.

Объектами опасного информационного воздействия и, следовательно, информационной безопасности могут быть: сознание, психика людей; информационно-технические системы различного масштаба и назначения. Если же говорить о социальных объектах информационной безопасности, то к ним можно отнести личность, коллектив, общество, государство, мировое сообщество.

Субъектами информационной безопасности следует считать те органы и структуры, которые занимаются ее обеспечением. Это могут быть органы не только исполнительной, но и законодательной, судебной власти.

Опасные информационные воздействия следует разделить на два вида. Первый связан с утратой ценной информации, что либо снижает эф­фективность собственной деятельности, либо повышает эффективность деятельности противника, конкурента. Если объектом такого воздействия является сознание людей, то речь идет о разглашении государственных тайн, вербовке агентов, специальных мерах и средствах для подслушивания, использовании детекторов лжи, медикаментозных, химических и других воздействиях на психику человека с целью заставить его развязать язык или забыть что-либо.

Безопасность от информационного воздействия данного вида обеспечивают органы цензуры, контрразведки и другие субъекты информационной безопасности. Если же источником информации служат технические системы, то речь идет уже о технической разведке, или шпионаже (перехват телефонных разговоров, радиограмм, сигналов других систем ком­му­никации), проникновении в компьютерные сети, банки данных. Деятельностью подобного рода занимается, например, агентство национальной безопасности США, затрачивая на это около 15 млрд. долларов в год. Противодействуют технической разведке органы контрразведки, а также структуры, ведающие теорией и практикой защиты компьютерных средств, систем связи.

Второй вид информационного воздействия связан с внедрением негативной информации, что может не только привести к опасным ошибочным решениям, но и заставить действовать во вред, даже подвести к самоубийству, а общество – к катастрофе. Информационную безопасность это­го вида должны обеспечивать специальные структуры информационно-технической борьбы. Они нейтрализуют акции дезинформации, пресекают манипулирование общественным мнением, противодействуют РЭБ, ликви­ди­руют последствия компьютерных атак.

Технические средства обеспечения информационной безопасности – это средства, с помощью которых осуществляются меры по защите систем управления, связи, компьютерных сетей, недопущению подслушивания, маскировке, предотвращению хищения информации.

К принципам обеспечения информационной безопасности можно отнести: законность, баланс интересов личности, общества и государства, комплексность, системность, интеграцию с международными системами безопасности, экономическую эффективность.

Рассмотрение информационной безопасности с позиций системного подхода позволяет увидеть отличие научного понимания этой проблемы от обыденного. В повседневной жизни информационная безопасность пони­мается лишь как необходимость борьбы с утечкой закрытой (секретной) информации, а также с распространением ложных и враждебных сведений.

Осмысления новых информационных опасностей, особенно технического плана, в обществе еще не произошло.

Роль и значение информационной безопасности в обществе возрастают. Отставание в информатике может привести в перспективе к уязвимости компьютерных сетей страны и в целом всей ее информационной, управленческой инфраструктуры.

Таким образом, по мере развития научно-технического прогресса роль информационной безопасности личности, общества, государства увеличивается, и ее обеспечение должно занять подобающее место в политике государства, в том числе и военной.

Информация стала фактором, способным привести к крупномасштабным авариям, военным конфликтам и поражению в них, дезорганизовать государственное управление, финансовую систему, работу научных центров. И чем выше уровень интеллектуализации и информатизации общества, тем надежнее его информационная безопасность.

 

1. ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Информационные технологии – бурно и динамично развивающаяся отрасль мирового хозяйства.

Серьезную опасность для России представляют стремления ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внутреннего и внешнего рынка информационных услуг, разработка рядом государств концепций «информационных войн», предусматривающих создание средств воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Доктрина информационной безопасности закладывает основы информационной политики государства. http://www.credogarant.ru/

С учетом существующих угроз для защиты национальных интересов России государство планирует активно развивать отечественную индустрию средств информации, коммуникации и связи с последующим выходом продукции на мировой рынок, обеспечивать гарантии безопасности для национальных информационных и телекоммуникационных систем и защиту государственных секретов с помощью соответствующих технических средств.

Одновременно предусматривается повышать эффективность информационного обеспечения деятельности государства.

Принятие данного документа ставит в повестку дня и вопрос о необходимости совершенствования российского законодательства. К примеру, речь идет о принятии законов, касающихся пресечения компьютерной преступности.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации:

Верхний уровень, к которому относятся решения, затрагивающие организацию в целом

Средний уровень, к которому относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для разных видов систем обработки данных, используемых в организации

Нижний уровень, вопросы которого касаются отдельных информационных сервисов, отдельных систем и подсистем обработки данных, используемых в организации.

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

К таким решениям, в частности, может относиться:

Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности; назначение ответственных за выполнение программы.

Формулировка целей в области информационной безопасности; определение общих направлений в достижении этих целей. Цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.

Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (т. е. отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов.

Для предприятия, занимающегося разработкой военной техники, наибольшее значение может иметь обеспечение конфиденциальности информации.

Формулировка решений по управлению различными ресурсами обеспечения информационной безопасности, координации использования этих ресурсов различными подразделениями фирмы.

Выделение специального персонала для обеспечения информационной безопасности; вопросы организации взаимодействия с другими организациями, обеспечивающими или контролирующими режим безопасности.

Определение обязанностей должностных лиц по выработке и реализации программ безопасности; вопросы выработки системы поощрений (и наказаний) за обеспечение (нарушение) информационной безопасности.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Основные положения политики безопасности предприятия (организации, фирмы) должны быть зафиксированы в документе, который подписывается, как правило, руководителем предприятия (организации). Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности, следующие разделы:

вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

организационный, содержащий описание структурных подразделений, отвечающих за работы в области информационной безопасности;

штатный, характеризующий применяемые к персоналу меры безопасности;

раздел, посвященный вопросам физической защиты информации;

раздел, описывающий подход к управлению компьютерами и компьютерными сетями; раздел, описывающий правила доступа к производственной информации;

раздел, характеризующий порядок разработки и сопровождения систем; раздел, описывающий меры, направление на обеспечение непрерывной работы организации;

юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Средний уровень

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важных для различных систем обработки данных, используемых в организации.

К таким вопросам могут быть отнесены, например следующие:

– следует ли внедрять передовые, но недостаточно проверенные (в том числе точки зрения информационной безопасности) технологии?

– следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?; следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?; следует ли допускать использование неофициального программного обеспечения?.

В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:

· описание аспекта (например, для вопроса, касающегося применения неофициального программного обеспечения, необходимо определить, что именно понимается под неофициальным программным обеспечением (это может быть ПО, которое не было одобрено и/или закуплено на уровне организаций);

· область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности (например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций–субподрядчиков).

Позиция организации по данному вопросу

Например, в вопросе использования неофициального программного обеспечения позиция организации может быть сформулирована как полный запрет, либо как допущение использования такого ПО только после специальной приемки, и т. д. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте;

· роли и обязанности – информация о должностных лицах, ответственных за реализацию политики безопасности (например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить; если же неофициальное программное обеспечение использовать нельзя, следует указать, кто следит за выполнением данного правила);

· законопослушность – общее описание запрещенных действий, и наказаний за них;

· точки контакта – информация о том, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Нижний уровень.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.

Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, и т. д.

Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Программа безопасности.

После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, т. е. выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на 2 уровня:

· верхний, или центральный уровень, который охватывает всю организацию;

· нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

Основными целями и задачами программы верхнего уровня являются следующие:

– управление рисками, включая оценку рисков и выбор эффективных средств защиты (этот вопрос подробнее рассмотрен далее);

– координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

– стратегическое планирование.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств, контроль деятельности в области информационной безопасности.

Такой контроль имеет двустороннюю направленность.

Во-первых, необходимо гарантировать, что действия организации не противоречат законам.

При этом следует поддерживать контакты с внешними контролирующими организациями.

Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Некоторые вопросы управления рисками.

Управление рисками актуально только для тех организаций, информационные системы или обрабатываемые данные которых можно считать нестандартными.

Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа риска.

Управление рисками включает в себя два циклически чередующихся вида деятельности

Оценка (измерение) рисков.

Выбор эффективных и экономических средств защиты (нейтрализация рисков).

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей уязвимые места системы), а также величины возможного ущерба.

Для оценки вероятности реализации угрозы исходят из соображений здравого смысла. При этом следует учитывать, что угрозы могут носить не только информационно – технологический характер.

Ущерб информационной безопасности могут нанести пожары, прорывы водопроводов, обрыв кабелей электропитания, и даже захват здания террористами.

Для каждой угрозы необходимо оценить вероятность ее осуществления (например, 1 – низкая, 2 – средняя, 3 – высокая). Далее для каждой угрозы необходимо оценить размер ущерба от нее, можно тоже по трехбалльной шкале.

Для оценки риска можно просто перемножить вероятность осуществления угрозы на предполагаемый ущерб – получим 9 возможных значений рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо принять дополнительные меры защиты.

Стоимость предполагаемых мер защиты также можно оценить по девятибалльной шкале, а затем сравнить с разницей между вычисленным и допустимым риском. Как правило, для уменьшения риска можно использовать различные меры, и необходимо выбрать наиболее эффективные.

Программа нижнего уровня

Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов.

На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. д. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).

Так, например, прежде, чем приобретать новую программу, необходимо определить, каковы возможные последствия нарушения защиты информации, обрабатываемой данной программой; каким угрозам может подвергаться данная системы, оценить требования к средствам защиты.

Следует также сформулировать требования к квалификации персонала, который будет обслуживать данную систему.

После закупки, при установке и конфигурировании нового продукта, необходимо включить и должным образом настроить встроенные средства безопасности.

В процессе эксплуатации следует проводить периодические проверки безопасности, так как если безопасность не поддерживать, она ослабевает.

Основные классы мер процедурного уровня.

Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

Управление персоналом.

Физическая защита.

Поддержание работоспособности системы.

Реагирование на нарушения режима безопасности.

Планирование восстановительных работ.

Управление персоналом.

Учет требований информационной безопасности начинается еще до приема на работу нового сотрудника – с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.

Например, можно искусственно «расщепить» пароль суперпользователя, сообщив одну его часть одному сотруднику, а вторую – другому. Тогда важные действия по администрированию ИС они смогут выполнить только вдвоем, что снизит вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей. Цель этого – уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное описание должности помогает оценить ее критичность с точки зрения информационной безопасности и определить, какие процедуры должны выполняться для проверки кандидата на должность, какое обучение должен пройти кандидат.

С того момента, когда новый сотрудник получает доступ к информационной системе, необходимо проводить администрирование его системного счета, протоколировать и анализировать выполняемые действия с целью выявления подозрительных ситуаций.

При увольнении сотрудника, особенно в случае конфликта между ним и администрацией, необходимо максимально оперативно лишить сотрудника его полномочий по доступу к информационной системе, принять его «компьютерное хозяйство».

Важной проблемой для обеспечения информационной безопасности является квалификация персонала, для поддержания которой необходимо регулярное обучение.

Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей.

Не зная мер безопасности, он не может их соблюдать. Напротив, если сотрудник знает, что его действия контролируются, он, возможно, воздержится от нарушений.

Физическая защита.

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации.

Обычно для этого используются инженерно- технические средства защиты, такие как охрана, замки, сейфы, датчики перемещения, противопожарные средства и т. д.

Поддержание работоспособности.

Для поддержания нормального функционирования информационных систем необходимо проведение ряда рутинных мероприятий:

Поддержка пользователей, т. е. консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью

Поддержка программного обеспечения – это, в первую очередь, отслеживание того, какое ПО установлено на компьютерах (если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами). В поддержку ПО входит также контроль за отсутствием неавторизованного изменения программы

Резервное копирование необходимо для восстановления программ и данных после аварий. При этом важно четко определить правила, по которым должно осуществляться резервное копирование

Управление носителями подразумевает защиту носителей информации (дисков, дискет) как от несанкционированного доступа, так и от вредных воздействий окружающей среды

Документирование – неотъемлемая часть информационной безопасности. В виде документов оформляется почти все – от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также чтобы она была защищена от несанкционированного доступа

Регламентные работы (например, ремонтные) – очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реагирование на нарушения режима безопасности

Реакция на нарушения режима безопасности преследует следующие цели:

Локализация инцидента и уменьшение наносимого вреда.

Выявление нарушителя.

Предупреждение повторных нарушений.

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах.

Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

Выявление наиболее важных функций организации. Следует понимать, что в случае аварии продолжение работ организации в полном объёме будет невозможно. Надо выявить самые важные функции, которые должны выполняться во что бы то ни стало.

Определение ресурсов, необходимых для выполнения важнейших функций. Не все ресурсы связаны с компьютерами. Для выполнения функций организации важны также персонал, документация, здания, инженерные коммуникации.

Определение перечня возможных аварий. При этом важно разработать «сценарий» аварии, понять, к каким последствиям они приведут.

Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.

Подготовка к реализации выбранной стратегии, т. е. выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.

Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.

 

2. КОНЦЕПТУАЛЬНЫЕ ПОЛОЖЕНИЯ ОРГАНИЗАЦИОННОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Доктрина информационной безопасности РФ развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Концепция национальной безопасности Российской Федерации Утверждена Указом Президента Российской Федерации от 17 декабря 1997 г. № 1300 (в редакции Указа Президента Российской Федерации от 10 января 2000 г. № 24)

Россия в мировом сообществе.

Национальные интересы России.

Угрозы национальной безопасности Российской Федерации.

Обеспечение национальной безопасности Российской Федерации.

Концепция национальной безопасности Российской Федерации (далее именуется – Концепция) – система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие направления государственной политики Российской Федерации.

Под национальной безопасностью Российской Федерации понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в Российской Федерации.

Цель Концепции – определение целей, задач и объектов государственной информационной политики (ГИП), основных направлений и механизмов ее реализации, результатов воздействия ГИП на социально-экономическое, политическое и культурное развитие России в конце XX и начале будущего века.

Область применения – конкретизация и уточнение основных направлений деятельности органов государственной власти по становлению информационного общества в России, формированию Единого информационного пространства России и ее вхождению в мировое информационное сообщество.

Исходные данные для разработки Концепции – Конституция Российской Федерации, «Декларация прав и свобод человека и гражданина», Послания Президента Российской Федерации Федеральному Собранию Российской Федерации;

Федеральные законы «Об информации, информатизации и защите информации», «О средствах массовой информации», «Об участии в международном информационном обмене», «О связи»;

«О государственной поддержке средств массовой информации и книгоиздания в Российской Федерации»;

«О государственной тайне», Гражданский кодекс Российской Федерации, а также другие законодательные акты, регулирующие отношения субъектов в информационной сфере, труды отечественных и зарубежных ученых по проблемам построения информационного общества и формирования информационно-телекоммуникационного пространства;

результаты аналитических и прогнозных исследований процессов информатизации в России.

Настоящая Концепция разработана в целях согласования усилий всех субъектов законодательной инициативы, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации по совершенствованию и развитию правового обеспечения информационной безопасности Российской Федерации.

Правовой основой Концепции являются Конституция Российской Федерации, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации, Концепция безопасности Союза Беларуси и России, Концепция национальной безопасности Российской Федерации и федеральное законодательство, регулирующее вопросы формирования и развития системы обеспечения национальной безопасности Российской Федерации.

Концепция отражает совокупность официально принятых государством взглядов на состояние, цели, задачи, основные направления и первоочередные мероприятия по дальнейшему развитию системы правового регулирования общественных отношений в области обеспечения информационной безопасности Российской Федерации.

Концепция создает методологическую основу согласования деятельности в области совершенствования правового обеспечения, информационной безопасности Российской Федерации всех субъектов законодательной инициативы федерального уровня, уровня субъектов Российской Федерации.

 

Виды угроз безопасности

Кража:

Технических средств; носителей информации (бумага, CD и т. д.);

информации (копирование, просмотр на дисплее); средств доступа (ключи, пароли и т. д.).

Подмена или модификация:

ОС; СУБД; прикладных программ; информации (данных); паролей и правил доступа.

Уничтожение или разрушение:

технических средств; носителей информации; ПО; информации; паролей и ключей.

Нарушение нормальной работы:

скорости обработки информации; пропускной способности канала;

уменьшения объемов свободной памяти; уменьшение объемов свободного дискового пространства; электропитания технических средств.

Ошибки:

при инсталляции ПО; при написании прикладного ПО; при эксплуатации ПО; при эксплуатации технических средств.

Перехват информации:

за счет побочных электромагнитных излучений (ПЭМИ); за счет наводок по посторонним проводникам; по акустическому каналу; при подключении к каналам передачи информации; за счет нарушения установленных правил доступа (взлом).

Угрозы, обусловленные техническими средствами менее прогнозируемые, нежели угрозы исходящие от субъектов.

Внутренние угрозы в данном случае обусловлены: