Підходи до пріорітизації ризиків

У даному стандарту часто використовуються терміни управління ризиками і оцінка ризиків, які зв'язані один з одним, але не є взаємозамінними. В процесі управління ризиками безпеки, пропонованому корпорацією майкрософті, під управлінням ризиками розуміються загальні зусилля по зниженню ризиків до прийнятного для бізнесу рівня. Під оцінкою ризиків розуміється процес виявлення і пріорітизації ризиків для бізнесу.

Не дивлячись на те що існує велике число методик оцінки і пріорітизації ризиків, велика частина цих методик заснована на якісному або кількісному підході до управління ризиками або використовує поєднання цих підходів.

Інструментарій для управління ризиками

У процесі оцінки ризиків ми проходимо ряд послідовних етапів, періодично відкочуючись на попередні етапи, наприклад, переоцінюючи, певний ризик після вибору конкретної контрзаходи для його мінімізації. На кожному етапі необхідно мати під рукою опитування, переліки загроз і вразливостей, реєстри ресурсів та ризиків, документація, протоколи нарад, стандарти і керівництва. У зв'язку з цим потрібен певний запрограмований алгоритм, база даних і інтерфейс для роботи з цими різноманітними даними.

Для управління ризиками ІБ можна застосовувати інструментарій, наприклад, як у методі CRAMM, або RA2,проте це не є обов'язковим. Приблизно також про це сказано і в стандарті BS 7799-3. Корисність застосування інструментарію може полягати в тому, що він містить запрограмований алгоритм робочого процесу оцінки та управління ризиками, що спрощує роботу недосвідченому спеціалістові.

Використання інструментарію дозволяє уніфікувати методологію і спростити використання результатів для переоцінки ризиків, навіть якщо вона виконується іншими фахівцями. Завдяки використанню інструментарію є можливість порядок зберігання даних і роботу з моделлю ресурсів, профілями загроз, переліками вразливостей і ризиками.

Крім власне засобів оцінки та управління ризиками програмний інструментарій може також містити додаткові кошти для документування СУІБ, аналізу розбіжностей до вимог стандартів, розробки реєстру ресурсів, а також інші кошти, необхідні для впровадження та експлуатації СУІБ.

Розвиток стандарту

 

Концепція проекту ISO 27005, по суті, відповідає концепції BS 7799-3, а також NIST SP 800-30:2002. У цілому, і BS 7799-3 і проект 27005 мають описовий характер і не містять конкретних вимог до способів управління ризиками. Стандарти дозволяють самостійно врахувати різні аспекти СУІБ, ідентифікувати рівні ризику, визначити критерії для прийняття ризику, ідентифікувати прийнятні рівні ризику і т.д. Стандарти дотримуються безперервного 4-процесного підходу до менеджменту систем якості, включають аналогічні етапи аналізу, оцінки та управління, правила і рекомендації, носять ітеративний характер, не висувають конкретних вимог до методів, містять вимоги щодо інформативності кожного етапу. Можна відзначити деяку тенденцію до деталізації етапів і додаванні прикладів у чергових версіях проекту 27005.

Всі сучасні стандарти в області безпеки - NIST SP 800-30, BS 7799-3 і проект ISO 27005 відображають що склався в міжнародній практиці загальний процесний підхід до організації управління ризиками. При цьому управління ризиками представляється як базова частина системи менеджменту якості організації. Стандарти носять відверто концептуальний характер, що дозволяє експертам по ІБ реалізувати будь-які методи, засоби і технології оцінки, відпрацювання та управління ризиками. З іншого боку, стандарти не містять рекомендацій з вибору будь-якого апарату оцінки ризику, а також з синтезу заходів, засобів і сервісів безпеки, які використовуються для мінімізації ризиків, що знижує корисність стандартів як технологічних документів.

Потреба у відповідному національному стандарті з управління ризиками визначається не тільки популяризацією економічно виправданих підходів до ІБ, але і вимог та рекомендацій, заданими ГОСТ 27001:2005 і ГОСТ 17799:2005, а також витікає з вимог до організації бізнес-процесів, визначених в актуальних стандартах серії 9000. Недоліки ISO 27005 або BS 7799-3 (відсутність конкретних методик)

З огляду на окремі некоректності переказів стандартів серії 27000 та досвід міжнародного визнання ГОСТ ІСО 15408, хочеться сподіватися, що розвиток нормативної бази в нашій країні буде рухатися шляхом прийняття ГОСТ, автентичного ISO 27005 або BS 7799-3.

Реальними стимулами для розвитку нормативного напрямку, пов'язаного з управлінням ризиками може бути становлення системи національної сертифікації СУІБ або розвиток принципів сертіфікаціі систем менеджменту якості в напрямку виконання вимог з ІБ.

Висновки

 

Вибір якісного або кількісного підходів до оцінки ризиків, визначається характером бізнесу організації та рівнем його інформатизації, тобто важливістю для нього інформаційних активів, а також рівнем зрілості організації.

====================================================================

 

=========================================================================================================================================================================================================================================================================================================================================================

Информационная безопасность

[править]

Материал из Википедии — свободной энциклопедии

Эта версия страницы ожидает проверки и может отличаться от последней подтверждённой, проверенной 26 августа 2010.

Данная версия страницы не проверялась участниками с соответствующими правами. Вы можете прочитать последнюю стабильную версию, проверенную 26 августа 2010, однако она может значительно отличаться от текущей версии. Проверки требует 41 правка.

Перейти к: навигация, поиск

У этого термина существуют и другие значения, см. Информационная безопасность (значения).

Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:

1. состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)^[1];
2. деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).^[2]

Содержание [убрать] 1 Сущность понятия «информационная безопасность» 1.1 Содержание понятия 1.2 Стандартизированные определения (для ДЦТД4-1) 1.3 Существенные признаки понятия 1.4 Рекомендации по использованию терминов (Рекомендации Комиссаровой) 2 Объём (реализация) понятия «информационная безопасность» 2.1 Нормативные документы в области информационной безопасности 2.2 Органы (подразделения), обеспечивающие информационную безопасность 2.3 Организационно-технические и режимные меры и методы 2.4 Программно-технические способы и средства обеспечения информационной безопасности 3 Организационная защита объектов информатизации 3.1 Гражданско-правовая ответственность за нарушения информационной безопасности сайтов сети Интернет 4 Исторические аспекты возникновения и развития информационной безопасности 5 Примечания 6 См. также 7 Ссылки 7.1 Профильные периодические издания 7.2 Специализированные порталы 8 Литература

[править] Сущность понятия «информационная безопасность»

[править] Содержание понятия

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Кортеж защиты информации - это последовательность действий для достижения определённой цели.

Информационная безопасность государства ^[3] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие^[4]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

[править] Стандартизированные определения (для ДЦТД4-1)

Безопасность информации (данных) ^[1] — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность ^[2] — защита конфиденциальности, целостности и доступности информации.

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе ее передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная безопасность (англ. information security)^[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security)^[6] — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security)^[6] — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы ^[6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

[править] Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality)^[6] — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
• целостность (англ. integrity)^[7] — избежание несанкционированной модификации информации;
• доступность (англ. availability)^[8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ. non-repudiation)^{[ источник не указан 430 дней ]} — невозможность отказа от авторства;
• подотчётность (англ. accountability)^[9] — обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность (англ. reliability)^[5] — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность (англ. authenticity)^[5] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

[править] Рекомендации по использованию терминов (Рекомендации Комиссаровой)

В Государственном стандарте РФ^[10] приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска.

Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:

• «защитный шлем» вместо «безопасный шлем»;
• «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

[править] Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности^[11]:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо^[2]:

• выявить требования защиты информации, специфические для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
• определить подразделения, ответственные за реализацию и поддержку СОИБ;
• распределить между подразделениями области ответственности в осуществлении требований СОИБ;
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

[править] Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся^[12]:

Акты федерального законодательства:

• Международные договоры РФ;
• Конституция РФ;
• Законы федерального уровня (включая федеральные конституционные законы, кодексы);
• Указы Президента РФ;
• Постановления правительства РФ;
• Нормативные правовые акты федеральных министерств и ведомств;
• Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

• Методические документы государственных органов России:
• Доктрина информационной безопасности РФ;
• Руководящие документы ФСТЭК (Гостехкомиссии России);
• Приказы ФСБ;

• Стандарты информационной безопасности, из которых выделяют:
• Международные стандарты;
• Государственные (национальные) стандарты РФ;
• Рекомендации по стандартизации;
• Методические указания.

[править] Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Служба внешней разведки Российской Федерации (СВР России);
• Министерство обороны Российской Федерации (Минобороны России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

• Служба экономической безопасности;
• Служба безопасности персонала (Режимный отдел);
• Отдел кадров;
• Служба информационной безопасности.

[править] Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy)^[1] — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)^[5] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы^[11]:

• Защита объектов информационной системы;
• Защита процессов, процедур и программ обработки информации;
• Защита каналов связи;
• Подавление побочных электромагнитных излучений;
• Управление системой защиты.

При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005^[2], на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

[править] Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации.^[11]

• Средства защиты от несанкционированного доступа (НСД):
• Средства авторизации;
• Мандатное управление доступом;
• Избирательное управление доступом;
• Управление доступом на основе ролей;
• Журналирование (так же называется Аудит).
• Системы анализа и моделирования информационных потоков (CASE-системы).
• Системы мониторинга сетей:
• Системы обнаружения и предотвращения вторжений (IDS/IPS).
• Системы предотвращения утечек конфиденциальной информации (DLP-системы).
• Анализаторы протоколов.
• Антивирусные средства.
• Межсетевые экраны.
• Криптографические средства:
• Шифрование;
• Цифровая подпись.
• Системы резервного копирования.
• Системы бесперебойного питания:
• Источники бесперебойного питания;
• Резервирование нагрузки;
• Генераторы напряжения.
• Системы аутентификации:
• Пароль;
• Ключ доступа (физический или электронный);
• Сертификат;
• Биометрия.
• Средства предотвращения взлома корпусов и краж оборудования.
• Средства контроля доступа в помещения.
• Инструментальные средства анализа систем защиты:
• Мониторинговый программный продукт.

[править] Организационная защита объектов информатизации

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

[править] Гражданско-правовая ответственность за нарушения информационной безопасности сайтов сети Интернет

·

• С.26

 

• Современные Интернет технологии предоставляют широкие возможности бизнесу, обществу и государству. Одним из возможных способов использования Интернет технологий является создание и использование сайтов сети Интернет. Подобная деятельность связана с рисками различного рода, включая риски нарушения информационной безопасности. Нарушение информационной безопасности может произойти как по причине активных действий нарушителя, так и по причине пассивного бездействия лица, не предпринимающего адекватных мер к обеспечению информационной безопасности, в результате чего собственнику, пользователю сайта Интернет или иному физическому или юридическому лицу, обществу в целом или государству может быть причинен вред. Сложность обеспечения адекватных мер информационной безопасности определяется быстрым развитием Интернет технологий и появлением новых видов угроз. В связи с этим особое значение приобретают вопросы ответственности за нарушения информационной безопасности сайтов сети Интернет.

·

• С.27

• Гражданско-правовая ответственность является одним из видов юридической ответственности и характеризуется применением к нарушителю предусмотренных законом или договором мер воздействия, влекущих для него отрицательные, экономически невыгодные последствия имущественного характера. В условиях рыночных отношений подобный вид ответственности представляется одним из эффективных способов регулирования общественных отношений. Однако, на законодательном уровне вопросы гражданско-правовой ответственности за нарушения информационной безопасности сайтов сети Интернет не находят своего отражения, а развитие законодательства в этой сфере, как отмечает ряд авторов, ведется бессистемно. Предлагаются различные пути решения обозначенной проблемы, в частности, разработка и принятие отдельного нормативного акта на уровне федерального законодательства «Об обеспечении информационной безопасности». В подобном законе должен найти свое отражение конкретный список правонарушений в сфере обеспечения информационной безопасности, за совершение которых предусматривается юридическая ответственность. Помимо закрепления ответственности провайдеров предлагается также введение страхования их ответственности и рисков нарушения информационной безопасности. Самостоятельным основанием возникновения гражданско-правовой ответственности является договор. В договоре между пользователями сайта Интернет и информационным посредником (провайдером), последний, как правило, снимает или существенным образом ограничивает свою имущественную ответственность на случай нарушения информационной безопасности. Отдельные информационные посредники по договору не возлагают на себя обязанности по реализации разумных усилий и мер с целью недопущения нарушения информационной безопасности, а ряд информационных посредников открыто заявляют, что лица, обратившиеся к их услугам, используют их на свой страх и риск, снимая с себя какую бы то ни было ответственность.

• Дальнейшее теоретическое исследование названных проблем и совершенствование законодательства в обозначенной сфере позволят гарантировать бизнесу, обществу и государству безопасную реализацию собственных прав и законных интересов в сфере Интернет технологий.

[править] Исторические аспекты возникновения и развития информационной безопасности

Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов^[4]:

• I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

• II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

• III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

• IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

• V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

• VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.

• VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

[править] Примечания