Информационная безопасность

Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов. Более того, для многих открытых организаций (например, учебных) собственно защита информации не стоит на первом месте.

Для того чтобы освоить основы обеспечения информационной безопасности, необходимо владеть понятийным аппаратом. Раскрытие некоторых ключевых терминов не самоцель, важно формирование начальных представлений о целях и задачах защиты информации.

Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники.

Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).

Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.

Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.

Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного, взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы информационной безопасности.

Принципы построения системы информационной безопасности.Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть его заключается в постоянном контроле функционирования системы, в выявлении ее слабых мест, возможных каналов утечки информации и несанкционированного доступа, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием.

67. Основные задачи по обеспечению информационной безопасности

Основными задачами государства и общества по предотвращению, парированию и нейтрализации внешних и внутренних угроз информационной безопасности является:

1. создание законодательной базы обеспечения информационной безопасности личности, общества и государства, формирующей правовую основу для противодействия информационным угрозам. Такая база имеется сейчас во многих странах мира. Формируется она и в России. Так, например, уже приняты федеральные законы «О государственной тайне», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене» и некоторые другие. Ведется работа по созданию механизмов практической реализации этих законов, подготавливаются другие законопроекты, регулирующие общественные отношения в информационной сфере;

2. проведение специальных мероприятий, направленных на обеспечение информационной безопасности в органах государственной власти страны и местного самоуправления. В настоящее время в стране активно ведутся работы по созданию защищенной информационно-телекоммуникационной системы органов государственной власти, способной противостоять внешним и внутренним информационным угрозам;

3. создание и внедрение отечественных высокоэффективных средств, методов и систем защиты информации в общегосударственных информационных и телекоммуникационных системах, а также методов обеспечения надежного и бесперебойного функционирования этих систем в экономической, финансовой и общественно-политической сферах;

4. создание и практическое внедрение эффективных средств, методов и систем защиты национальных информационных ресурсов страны от разрушений и несанкционированного доступа, повышение надежности и безопасности их хранения. В России уже ведутся научно-исследовательские работы не только по инструментальным средствам защиты информационных ресурсов, но и по их классификации по категориям информационной безопасности.

При этом учитывается как их национальная специфика, так и международный опыт, в частности принятые в 1991 году группой европейских стран рекомендации «Критерии оценки безопасности информационной технологии». Можно надеяться, что выполнение этих исследований позволит сделать защиту национальных информационных ресурсов России более надежной и эффективной;

5. развитие отечественной промышленности для производства в необходимых объемах современных средств информационной техники, используемых для создания и развития национальной информационной инфраструктуры, обеспечения деятельности оборонного комплекса, органов государственного управления и наиболее важных предприятий финансовой и деловой сферы.

Решение этой проблемы помимо экономических усилий потребует также соответствующей ориентации системы образования, науки и общественного мнения в стране с тем, чтобы сделать работу в этой области престижной и социально привлекательной. Только таким образом можно будет обеспечить приток в эту сферу людских ресурсов и подготовку необходимого количества специалистов и научных работников;

6. Разработка и планомерное проведение в жизнь специальных организационно-правовых и воспитательных мероприятий, направленных на предотвращение и нейтрализацию информационных угроз в духовной сфере жизни общества, формирование общественного сознания населения страны в направлении активного противодействия этим угрозам.

В число этих мероприятий, прежде всего, должны входить:

§ Открытое провозглашение и активная пропаганда государственной идеологии общества, которая была бы понятной и приемлемой для большинства населения и учитывая культурные и исторические традиции развития многонациональной страны;

§ Разработка и осуществление цивилизованных форм воздействия на средства массовой информации с целью их ориентации на распространение в обществе духовных ценностей, отвечающих национальным целям страны, воспитанию патриотизма и гражданского долга по защите ее интересов.

Таким образом, меры по обеспечению информационной безопасности страны должны быть комплексными и содержать в себе не столько мероприятия идеологического и воспитательного характера, направленные на соответствующую ориентацию общественного сознания.

68. Методы обеспечения информационной безопасности

Одним из наиболее эффективных методов обеспечения информационной безопасности являются организационно-технические методы.
Что такое организационно-технические методы обеспечения информационной безопасности? Прежде всего, создание и совершенствование системы обеспечения информационной безопасности, разработка, использование и совершенствование СЗИ и методов контроля их эффективности.
Этот этап тесно связан с правовыми методами защиты информации, такими как лицензирование (деятельности в области защиты информации), сертификация средств защиты информации и применение уже сертифицированных, и аттестация объектов информатизации по требованиям безопасности информации.
А так же организационно технические методы связаны с экономическими, включающими в себя разработку программ обеспечения информационной безопасности Российской Федерации, определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков.
Защита информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.

Меры по охране конфиденциальности информации, составляющей коммерческую тайну (ФЗ 2004 г. № 98-ФЗ)

· определение перечня информации, составляющей коммерческую тайну;

· ограничение доступа к информации, составляющей коммерческую тайну,

· путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

· учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

· регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

· нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Если говорить об экономической стороне защиты информации, всегда важно одно правило – стоимость системы защиты информации не должна превышать стоимость этой информации. Но это не единственное «но» в этом вопросе.
Нецелесообразно защищать всю информацию, какую можем, и все каналы информации какие только есть. Для этого необходимо определить объект защиты.
Основными объектами защиты являются речевая информация и информация обрабатываемая техническими средствами. Так же информация может быть представлена в виде физических полей, информативных электрических сигналов, носителей на бумажной, магнитной, магнито-оптической и иной основе. В связи с этим защите подлежат средства и системы информатизации, участвующие в обработке защищаемой информации (ОТСС), технические средства и системы, не обрабатывающие непосредственно информацию, но размещенные в помещениях, где она обрабатывается (ВТСС) и защищаемые помещения.

69. Особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни