Информационная безопасность

     К внутренним источникам угроз информационной безопасности РФ относятся:

     критическое состояние отечественных отраслей промышленности;

     неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

     недостаточная координация деятельности федеральных  органов 

государственной власти, органов государственной  власти субъектов Российской Федерации  по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;

недостаточная разработанность нормативно-правовой базы,

регулирующей  отношения в информационной сфере, а также недостаточная правоприменительная  практика;

неразвитость  институтов гражданского общества и

недостаточный государственный контроль за развитием  информационного рынка России;

недостаточное финансирование мероприятий по обеспечению 

информационной  безопасности Российской Федерации;

недостаточная экономическая мощь государства;

снижение эффективности системы образования и воспитания,

недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

недостаточная активность федеральных органов  государственной 

власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, разъяснении принимаемых

решений, формировании открытых государственных  ресурсов и развитии системы доступа  к ним граждан;

отставание  России от ведущих стран мира по уровню

информатизации федеральных органов государственной власти, органов  государственной власти субъектов Российской Федерации.

2. Методология обеспечения информационной безопасности

2.1. Понятие защиты информации и ее сущность

     Защита  информации – комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).

     Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.

     Очевидно, что абсолютно безопасных систем нет, и здесь речь идет о надежной системе в смысле «система, которой  можно доверять» (как можно доверять человеку). Система считается надежной, если она с использованием достаточных  аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

     Основными критериями оценки надежности являются: политика безопасности и гарантированность.

     Политика  безопасности, являясь активным компонентом защиты (включает в себя анализ возможных угроз и выбор соответствующих мер противодействия), отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организация при обработке, защите и распространении информации. Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности.

     Гарантированность, являясь пассивным элементом  защиты, отображает меру доверия, которое  может быть оказано архитектуре  и реализации системы.

     В надежной системе должны регистрироваться все происходящие события, касающиеся безопасности (должны использоваться механизм подотчетности протоколирования, дополняющийся анализом заполненной  информации, то есть аудитом).

2.2.Требования и условия для обеспечения информационной безопасности

     С учетом накопленного опыта можно  определить систему защиты информации как организованную совокупность специальных  органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

• непрерывной. Это требование проистекает из того, что

злоумышленники  только и ищут возможность, как бы обойти защиту интересующей их информации;

• плановой. Планирование осуществляется путем разработки

каждой  службой детальных планов защиты информации в сфере ее компетенции  с учетом общей цели предприятия (организации);

• целенаправленной. Защищается то, что должно защищаться в

интересах  конкретной цели, а не все подряд;

• конкретной. Защите подлежат конкретные данные, объективно

подлежащие  охране, утрата которых  может причинить организации определенный ущерб;

• активной. Защищать информацию необходимо с достаточной

степенью настойчивости; 
 

• надежной. Методы и формы защиты должны надежно

перекрывать возможные пути неправомерного доступа  к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;

• универсальной. Считается, что в зависимости от вида канала

утечки  или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными  и достаточными средствами, независимо от характера, формы и вида информации;

• комплексной. Для защиты информации во всем многообразии

структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

     Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.

     Зарубежный  и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

     охватывать  весь технологический комплекс информационной деятельности;

     быть  разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

     быть  открытой для  изменения и дополнения мер обеспечения  безопасности информации; 

     быть  нестандартной, разнообразной. При  выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

     быть  простой для технического обслуживания и удобной для эксплуатации пользователями;

     быть  надежной. Любые поломки технических  средств являются причиной появления  неконтролируемых каналов утечки информации;

     быть  комплексной, обладать целостностью, означающей, что ни одна ее часть не может  быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также  определенные требования:

     четкость  определения полномочии и прав пользователей на доступ к определенным видам информации;

     предоставление  пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

     сведение  к минимуму числа общих для нескольких пользователей средств защиты;

     учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

     обеспечение оценки степени конфиденциальной информации;

     обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:

     правовое  обеспечение. Сюда входят нормативные  документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

     организационное обеспечение. Имеется в виду, что  реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

     аппаратное  обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения  деятельности собственно средств защиты информации;

     информационное  обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в  основе решения задач, обеспечивающих функционирование системы. Сюда могут  входить как показатели доступа, учета, хранения, так и системы  информационного обеспечения расчетных задач различного характера, связанных  с деятельностью службы обеспечения безопасности;

     программное обеспечение. К нему относятся различные  информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам

конфиденциальной  информации;

     математическое  обеспечение. Предполагает использование  математических методов для различных расчетов, связанных с оценкой опасности  технических средств злоумышленников, зон и норм необходимой защиты;

     лингвистическое обеспечение. Совокупность специальных  языковых средств общения специалистов и  пользователей в сфере защиты информации;

     нормативно-методическое обеспечение. Сюда входят нормы и  регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей  при выполнении своей работы в условиях жестких требований защиты информации.

     Удовлетворить современные требования по обеспечению  безопасности предприятия и защиты его конфиденциальной  информации может только система  безопасности. Под системой безопасности будем  понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

     Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

3. Объекты защиты информационной деятельности и обеспечения

информационной  безопасности

     Объектами  информационной безопасности являются, прежде всего, информационные ресурсы, содержащие данные, составляющие государственную тайну, и другие конфиденциальные сведения независимо от форм хранения. К ним также относятся информационные системы различных классов и разного назначения: библиотеки, архивы, базы и банки данных, средства теледоступа, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации. Кроме того, к объектам, требующим защиты, относятся информационная инфраструктура и ее элементы, центры обработки анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе сами системы и средства защиты процессов переработки информации. Информационные системы как объекты информационной безопасности одновременно являются и организационными, организационно-техническими либо техническими системами.