Методы обеспечения информационной безопасности

Методы обеспечения информационной безопасности

Методы обеспечения информационной безопасности разделяются на правовые, организационные, организационно-технические, технические, экономические .

К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов и нормативных ведомственных документов по вопросам обеспечения информационной безопасности.

Наиболее важными направлениями являются:

· внесение изменений и дополнений в целях устранения неточностей и разногласий между законодательными актами Российской Федерации;

· разработка законодательных актов по вопросам защите конфиденциальной информации

· разработка ведомственных методических материалов по организации и проведению работ по защите конфиденциальной информации.

Организационные, организационно-технические методы обеспечения информационной безопасности включают:

· создание и совершенствование системы обеспечения информационной безопасности;

· усиление правоприменительной деятельности органов исполнительной власти, а также предупреждение и привлечение правонарушений в информационной сфере, а также выявление, и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;

· создание систем несанкционированного доступа к обрабатываемой информации и уничтожение, искажения информации;

· выявление технических и программных средств, представляющих опасность для информации, информационных ресурсов, информационных систем;

· сертификация средств защиты, лицензирование деятельности в области защиты информации;

· контроль за действиями персонала, обеспечивающего обработку и защиту информации;

· формирование системы мониторинга показателей и характеристик информационной безопасности.

Технические методы обеспечение безопасности информации:

· установка технических и аппаратно-программных, программных средств защиты от несанкционированного доступа к обрабатываемой информации, специальных воздействий, вызывающие разрушения, уничтожения, искажении информации, а также изменения штатных режимов функционирования систем и средств информатизации и связи.

· выявление технических и программных средств, представляющих опасность для средств обработки и передачи информации;

· проведение специальных измерений, технических средств обработки на предмет защищённости от утечки информации по техническим каналам;

· технический контроль за эффективным функционированием средств защиты информации.

Экономические методы обеспечения информационной безопасности Российской Федерации включают:

· разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

· совершенствование системы финансирования работ;

· страхование информационных рисков физических и юридических лиц.

5.189.137.82 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам.

Понятие информационной безопасности и методы ее обеспечения

Информационная безопасность — состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.Предотвращение и ликвидация угроз информационной безопасности интересам и правам личности, общества, государства основывается на разработке и реализации комплекса средств и механизмов защиты. Это могут быть организационные, технические, программные, социальные, правовые и иные механизмы, обеспечивающие локализацию и предотвращение таких угроз.

Вопросы информационной безопасности касаются как субъектов, интересы и права которых подлежат защите, так и субъектов, обеспечивающих такую защиту. Информационная безопасность РФ находится под пристальным вниманием государства, в связи с чем Президентом РФ утверждена Доктрина информационной безопасности РФ.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Методы. Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические.

К правовым относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (внесение изменений и дополнений в законодательство РФ,законодательное разграничение полномочий между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан и т.д.)

Организационно-техническими методами являются:

* разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

* создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;

* выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;

* сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

* контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;

* разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

* совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных физических и юридических лиц.

56. Гражданская ответственность в информационной сфере

Гражданско-правовая (имущественная) ответственность наступает в тех случаях, когда в результате несоблюдения соответствующих норм информационного права причиняется вред предприятиям, учреждениям, организациям и гражданам. Такую ответственность несут как юридические, так и физические лица. В соответствии с Согласно ст. 152 ГК РФ «Защита чести, достоинства и деловой репутации» гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.

Если сведения, порочащие честь, достоинство или деловую репутацию гражданина, распространены в средствах массовой информации, они должны быть опровергнуты в тех же средствах массовой информации.

Кроме того, гражданин, в отношении которого распространены сведения, порочащие его честь, достоинство или деловую репутацию, вправе наряду с опровержением таких сведений требовать возмещения убытков и морального вреда, причиненных их распространением.

Гражданским кодексом РФ закреплены аналогичные правила зашиты деловой репутации юридического лица

Методы обеспечения информационной безопасности

Задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

— средства идентификации и аутентификации пользователей ;

— средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

— виртуальные частные сети;

— средства контентной фильтрации;

— инструменты проверки целостности содержимого дисков;

— средства антивирусной защиты;

— системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ. [3]

Система аутентификации (или идентификации), авторизации и администрирования. Идентификация и авторизация — это ключевые элементы информационной безопасности. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты — обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования — высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов — проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network — VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

— защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

— защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

— защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей). [10, c.79]

Эффективное средство защиты от потери конфиденциальной информации — фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.[4, с. 72]

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Огромный урон компаниям, нанесенный вирусами и хакерскими атаками, — в большой мере следствие слабых мест в используемом программном обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных — резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т. д.).

Политика информационной безопасности есть пакет документов, регламентирующий работу сотрудников, описывающий основные правила работы с информацией, информационной системой, базами данных, локальной сетью и ресурсами интернет. Важно понимать, какое место политика информационной безопасности занимает в общей системе управления организацией. Ниже представлены общие организационные меры, связанные с политикой безопасности.

На процедурном уровне можно выделить следующие классы мер:

-реагирование на нарушения режима безопасности;

-планирование восстановительных работ.

Управление персоналом начинается с приема на работу, однако еще до этого следует определить компьютерные привилегии, связанные с должностью. Существует два общих принципа, которые следует иметь ввиду:

Принцип разделения обязанностей предписывает как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформление заявок на подобные платежи, а другому — заверять эти заявки. Другой пример — процедурные ограничения действий суперпользователя. Можно искусственно «расщепить9quot; пароль суперпользователя, сообщив первую его часть одному сотруднику, а вторую — другому. Тогда критически важные действия по администрированию информационной системы они смогут выполнить только вдвоем, что снижает вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно — уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем ответственнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла дополнительно усложнять ее. В то же время, неразумно и совсем отказываться от предварительной проверки, чтобы случайно не принять на работу человека с уголовным прошлым или психическим заболеванием.

Когда кандидат определен, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.

Рассмотрим следующие направления физической защиты:

— физическое управление доступом;

— защита поддерживающей инфраструктуры;

— защита мобильных систем.

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации, а также отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры и средства коммуникаций. В принципе, к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности следует выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы и всегда иметь под рукой запчасти.[1, c. 126]

Вообще говоря, при выборе средств физической защиты следует производить анализ рисков. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность сбоев электропитания, стоимость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации и т.п.)

Рассмотрим ряд мер, направленных на поддержание работоспособности информационных систем. Именно в этой области таится наибольшая опасность. К потере работоспособности, а именно повреждению аппаратуры, разрушению программ и данных могут привести нечаянные ошибки системных администраторов и пользователей. Это в худшем случае. В лучшем случае они создают бреши в защите, которые делают возможным реализацию угроз безопасности систем.

Основная проблема многих организаций — недооценка факторов безопасности в повседневной работе. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Для повседневной деятельности, направленной на поддержание работоспособности информационной системы можно выделить следующие действия:

— поддержка программного обеспечения;

Поддержка пользователей подразумевает, прежде всего, консультирование и оказание помощи при решении разного рода проблем. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью. Так, многие трудности пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами. Целесообразно фиксировать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для распространенных ситуаций.

Поддержка программного обеспечения — одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами, а также появлению утилит, действующих в обход защитных средств. Вполне вероятно также, что «самодеятельность9quot; пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору.

Второй аспект поддержки программного обеспечения — контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержку эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и обеспечения целостности.

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей, версии. Фиксация изменений позволит легко восстановить текущую версию после аварии.

Лучший способ уменьшить количество ошибок в рутинной работе — максимально автоматизировать ее. Автоматизация и безопасность зависят друг от друга, ведь тот, кто заботится в первую очередь об облегчении своей задачи, на самом деле оптимальным образом формирует режим информационной безопасности.

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание создания полных и инкрементальных копий, а как максимум — воспользовавшись соответствующими программными продуктами. Нужно также наладить размещение копий в безопасном месте, защищенном от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесообразно иметь несколько экземпляров резервных копий и часть из них хранить вне территории организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управлять носителями необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл — от закупки до выведения из эксплуатации.

Документирование — неотъемлемая часть информационной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.

К хранению одних документов (содержащих, например, анализ уязвимых мест системы и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий — требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).

Регламентные работы — очень серьезная угроза безопасности. Сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит степень доверия к тем, кто выполняет работу.

Политика безопасности, принятая в организации, должна предусматривать набор оперативных мероприятий направленных на обнаружение и нейтрализацию нарушений режима информационной безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Реакция на нарушения режима безопасности преследует три главные цели:

— локализация инцидента и уменьшение наносимого вреда;

-предупреждение повторных нарушений.

Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.

Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью. В то же время, у каждой организации есть функции, которые руководство считает критически важными, они должны выполняться несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме. [12, c. 160]

Отметим, что меры информационной безопасности можно разделить на три группы, в зависимости от того, направлены ли они на предупреждение, обнаружение или ликвидацию последствий атак. Большинство мер носит предупредительный характер.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

— выявление критически важных функций организации, установление приоритетов;

— идентификация ресурсов, необходимых для выполнения критически важных функций;

— определение перечня возможных аварий;

— разработка стратегии восстановительных работ;

— подготовка к реализации выбранной стратегии;

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На данном этапе желательно подключать к работе специалистов разного профиля. [10, c. 52]

Таким образом, существует большое количество различных методов обеспечения информационной безопасности. Наиболее эффективным является применение всех данных методов в едином комплексе. Сегодня современный рынок безопасности насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения рынка безопасности, многие компании видят неадекватность ранее вложенных средств в системы информационной безопасности, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны — это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой — модернизация существующих систем безопасности. Последний вариант решения этой проблемы является наименее затратным, но несет новые проблемы, например, требует ответа на следующие вопросы: как обеспечить совместимость старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; как обеспечить централизованное управление разнородными средствами обеспечения безопасности; как оценить, а при необходимости и переоценить информационные риски компании.

25. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ

Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.

Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство РФ;

• законодательное разграничение полномочий между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;

• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационныхсетей на территории РФ, и правовое регулирование деятельности этих организаций.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

• создание и совершенствование системы обеспечения информационной безопасности РФ;

• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;

• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;

• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;

• формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности РФ включают в себя:

• разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных физических и юридических лиц. Государственная политика обеспечения информационной безопасности определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти в РФ в этой области, порядок закрепления их обязанностей по защите интересов РФ в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Понятие информационной безопасности получило развитие в Доктрине информационной безопасности Российской Федера­ции (далее — Доктрина), являющейся совокупностью официаль­ных взглядов на цели, задачи, принципы и основные направле­ния обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасно­стью Российской Федерации понимается состояние защищенно­сти ее национальных интересов в информационной сфере, опре­деляющихся совокупностью сбалансированных интересов лично­сти, общества и государства 2 .

В основу доктринального определения информационной безо­пасности положено родовое понятие безопасности как «состояния защищенности», закрепленное в Законе РФ «О безопасности» 3. Доктринальная формула объекта защиты соответствует родовому объекту идентифицированному в Законе РФ «О безопасности» как «жизненно важные интересы». Учитывая роль и значимость Доктри­ны, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в задан­ном этим документом направлении, хотя оно и наиболее проблем­но, поскольку требует ответа на не найденный до сих пор несколь­кими поколениями ученых вопрос. Этот вопрос, коль скоро речь

1 Ярочкин В. И. Информационная безопасность: учеб. пособие. М. 2000; Ле­вин В. К. Защита информации в информационно-вычислительных системах и се­тях // Программирование. 1994. № 5; Бачило И. Л. Лопатин В. И. Федотов М. А. Информационное право: учеб. / под ред. акад. Б. Н. Топорнина. СПб. 2005. С. 580—5&3; Копылов В. А. Информационное право: учеб. М, 2002. С. 218—231.

2 РГ. 2000. 28 сент.

3 Ведомости РФ. 1992. № 15. Ст. 779; 1993. № 2. Ст. 77; Собрание ак­тов РФ. 1993. № 52. Ст. 5086.

идет об объекте защиты, в качестве которого полагаются нацио­нальные интересы, определяющиеся совокупностью сбалансирован­ных интересов личности, общества и государства, состоит в опреде­лении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда от­вечает интересам общества в целом; и наоборот, то, что соответст­вует интересам всего общества, может явно противоречить интересу отдельного индивида.

Между тем в Доктрине предпринята попытка структурирования национальных интересов Российской Федерации в информацион­ной сфере на основе их четырех составляющих.

Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравствен­ных ценностей в обществе, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая- национальных интересов содержит в себе информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной полити­ке России, ее официальной позиции по социально значимым собы­тиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов объединяет в себе развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информати­зации, телекоммуникации и связи, обеспечение потребностей внут­реннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффектив­ного использования отечественных информационных ресурсов.

И наконец, четвертую составляющую национальных интересов образуют защита информационных ресурсов от несанкционирован­ного доступа и обеспечение безопасности информационных и теле­коммуникационных систем, как уже развернутых, так и создавае­мых на территории России.

Предполагается, что все четыре составляющие национальных ин­тересов в информационной сфере могут, в свою очередь, рассматри­ваться как совокупность сбалансированных интересов личности, об­щества и государства. При этом интересы личности заключаются в реализации конституционных прав человека и гражданина на дос­туп к информации, на использование информации в интересах ‘осу­ществления не запрещенной законом деятельности, физического, ду­ховного и интеллектуального развития, а также в защите информа­ции, обеспечивающей личную безопасность. Интересы общества заключаются в обеспечении интересов личности в информационной сфере, упрочении демократии, создании правового социального госу­дарства, достижении и поддержании общественного согласия, в ду-

духовном обновлении России. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправно го и взаимовыгодного международного сотрудничества.

Основные задачи по обеспечению информационной безопасности. На основе национальных интересов Российской Федерации в информационной сфере формируются задачи по обеспечению информационном безопасности. Характер данных задач определяется текущим состоя ни ем сферы информационной безопасности с учетом наличия тех либо иных внешних и внутренних угроз конституционным правам и свободам человека и гражданина, интересам общества и государства.

В Доктрине определены следующие основные задачи по обеспе­чению информационной безопасности:

— разработка основных направлений государственной политики в области обеспечения информационной безопасности России, а также мероприятий и механизмов, связанных с реализацией этой программы;

— развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности России, а также системы противодействия этим угрозам;

— разработка федеральных целевых программ обеспечения пи формационной безопасности России;

— разработка критериев и методов оценки эффективности ОИС тем и средств обеспечения информационной безопасности, а ТЭКЖ1 сертификации этих систем и средств;

— совершенствование нормативно-правовой базы обеспечения информационной безопасности России, включая механизмы реали зации прав граждан на получение информации и доступ к ной формы и способы реализации правовых норм, касающихся ВЗВИМО действия государства со средствами массовой информации;

— установление ответственности должностных лиц федеральных органов государственной власти, органов государственной сми РИ субъектов РФ, органов местного самоуправления, юридических мим и граждан за соблюдение требований информационной безопасности;

— координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, оргинизаций независимо от формы собственности в области обеспечения информационной безопасности России;

— развитие научно-практических основ обеспечения информационной безопасности России с учетом современной геополитической, условий политического и социально-экономического развития России и реальности угроз применения «информационно­го оружия» 1 ;

— разработка и создание механизмов формирования и реализа­ции государственной информационной политики России;

— разработка методов повышения эффективности участия госу­дарства в формировании информационной политики государствен­ных телерадиовещательных организаций, других государственных средств массовой информации;

— обеспечение технологической независимости России в важ­нейших областях информации, телекоммуникации и связи, опреде­ляющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов воору­жений и военной техники;

— разработка современных методов и средств защиты инфор­мации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными про­изводствами;

— развитие и совершенствование государственной системы за­щиты информации и системы защиты государственной тайны;

— создание и развитие современной защищенной технологиче­ской основы управления государством в мирное время, в чрезвы­чайных ситуациях и в военное время;

— расширение взаимодействия с международными и зарубеж­ными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, пере­даваемой с помощью международных телекоммуникационных сис­тем и систем связи;

— обеспечение условий для активного развития российской ин­формационной инфраструктуры, участия России в процессах созда­ния и использования глобальных информационных сетей и систем;

— создание единой системы подготовки кадров в области ин­формационной безопасности и информационных технологий.

Представляется, что условием плодотворности решения указан­ных задач, как, впрочем, и любых иных, является перевод их в плоскость реальных установок, закрепленных нормативными сред­ствами. Пока этого нет, задачи существуют сами по себе, будучи замкнутыми в системе официальных взглядов.

Методы обеспечения информационной безопасности. Методы обес­печения информационной безопасности делятся на общие и част­ные. Общие методы, в свою очередь, дифференцируются на право­вые, организационно-технические и экономические.

Под «информационным оружием» понимаются, как правило, средств уничтожения, искажения или хищения информации после преодоления сис­тем ее защиты, ограничения доступа к ней надлежащих пользователей, дезор ганизации работы технических средств.

К правовым методам обеспечения информационной безопасно­сти согласно Доктрине относятся разработка нормативных правовых актов, регламентирующих отношения в информационной сфере и нормативных методических документов по вопросам обеспечения информационной безопасности России. Основными направлениями этой деятельности, в частности, являются:

— законодательное разграничение полномочий в области обеспе­чения информационной безопасности между федеральными органами государственной власти и органами государственной власти субъек­тов РФ, определение целей, задач и механизмов участия в этой дея­тельности общественных объединений, организаций и граждан;

— разработка и принятие нормативных правовых актов РФ, ус­танавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, предна­меренное распространение недостоверной информации, противо­правное раскрытие конфиденциальной информации, использование в’ преступных и корыстных целях служебной информации или ин­формации, содержащей коммерческую тайну;

— законодательное закрепление приоритета развития нацио­нальных сетей связи и отечественного производства космических спутников связи;

— определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на тер­ритории России, и правовое регулирование деятельности этих орга­низаций;

— создание правовой базы для формирования в России регио­нальных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информа­ционно безопасности, в частности, являются:

— создание и совершенствование системы обеспечения инфор­мационной безопасности России;

— усиление правоприменительной деятельности органов испол­нительной власти;

— разработка, использование и совершенствование средств за­щиты информации и методов контроля эффективности этих средств;

— создание систем и средств предотвращения несанкциониро­ванного доступа к обрабатываемой информации и специальных воз­действий, вызывающих разрушение, уничтожение, искажение ин­формации, а также изменение штатных режимов функционирова­ния систем и средств информатизации и связи;

— выявление технических устройств и программ, представляю­щих опасность для нормального функционирования информацион­но-телекоммуникационных систем, предотвращение перехвата ин­формации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и переда­че по каналам связи;

— сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

— контроль за действиями персонала в защищенных информа­ционных системах.

Экономические методы обеспечения информационной безопас­ности включают в себя:

— разработку программ обеспечения информационной безопас­ности России и определение порядка их финансирования;

— совершенствование системы финансирования работ, связан­ных с реализацией правовых и организационно-технических мето­дов защиты информации, создание системы страхования информа­ционных рисков физических и юридических лиц.

Частные методы обеспечения информационной безопасности России разделяются на методы использование которых обусловлено спецификой различных сфер жизнедеятельности общества и госу- j дарства. В каждой из этих сфер имеются сбои особенности, связан­ные со своеобразием объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности. Доктрина не указывает прямо на конкретные частные методы, а оперирует объектами, наиболее подверженными воздействию уг­роз информационной безопасности, и мерами, которые следовало бы принять в сферах экономики, внутренней и внешней политики. науки и техники, духовной жизни, обороны, в общегосударственных информационных и телекоммуникационных системах, в правоохра­нительной и судебной сферах в условиях чрезвычайных ситуаций.





Внимание, только СЕГОДНЯ!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *