Основные задачи в области обеспечения информационной безопасности
1. Обеспечение информационных потребностей личности, общества и государства во всех сферах их жизнедеятельности.
2. Обеспечение прав граждан на тайну корреспонденции, телефонных и иных сообщений.
3. Эффективное использование национальных информационных ресурсов, создание условий по поддержанию сохранности и систематическому их пополнению.
4. Защита сведений, составляющих государственную, служебную, коммерческую и иную охраняемую законодательством тайну.
5. Развитие современных информационных технологий, национальной индустрии средств информатизации и связи, расширение участия республики в международной кооперации производителей таких средств и систем.
6. Обеспечение безопасности информационных систем и сетей связи.
7. Участие Республики Беларусь в работе международных организаций, определяющих принципы и направления сотрудничества в информационной области.
В соответствии с Концепцией национальной безопасности основными факторами создающими угрозу безопасности Республики Беларусь в информационной сфере являются:
1. Распространение недостоверной или умышленно искаженной информации, направленное на разрушение общественного согласия, духовных и нравственных ценностей общества, а также возбуждение национальной и религиозной вражды, социальной розни.
2. Зависимость информационной инфраструктуры Беларуси от импорта зарубежных информационных технологий, средств и систем информатизации, связи и программного обеспечения.
3. Недостаточная обеспеченность квалифицированными кадрами в области информационных технологий и защиты информации. Выезд на постоянное место жительства за рубеж высококвалифицированных специалистов и правообладателей интеллектуальной собственности.
4. Несоответствие информационного обеспечения государственных и общественных институтов современным требованиям управления экономическими, политическими и социальными процессами.
5. Недостаточное развитие государственной системы лицензирования, сертификации продуктов и систем информационных технологий и аттестации объектов информатизации в соответствии с требованиями информационной безопасности. Использование при создании и модернизации национальной инфраструктуры несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации и связи.
6. Рост числа преступлений, совершаемых с использованием информационных технологий. Несанкционированная разработка и распространение программ, нарушающих функционирование информационных систем и сетей связи.
7. Отсутствие в республике эффективной системы обеспечения сохранности открытой информации, в том числе представляющей интеллектуальную собственность.
Угрозы безопасности информационных технологий
Кража информации
Вредоносное ПО
Хакерские атаки
Спам
Халатность сотрудников
Аппаратные и программные сбои
Кража оборудования
Финансовое мошенничество
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);
• сбои и отказы оборудования (технических средств) АС;
• ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Методы защиты информации
1. Административные методы
2. Технические методы
38 Организационные, программно-технические и юридические методы защиты информации.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ЭИС. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:
· устанавливается наличие конфиденциальной информации в разрабатываемой ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;
· определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.
· анализируется возможность использования имеющихся на рынке сертификационных средств защиты информации;
· определяет степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
· вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.
К методам обеспечения безопасности относятся:
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом - метод защиты информации с помощью регулирования использования всех ресурсов компьютерной информационной системы банковской деятельностью (элементов баз данных, программных и технических средств). Управление доступом включает следующее функции защиты:
· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
· – опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;
· – проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· – разрешение и создание условий работы в пределах установленного регламента;
· – регистрацию (протоколирование) обращений к защищаемым ресурсам;
· – реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.
Массировка - метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам большой протяженности данный метод является наиболее надежным.
Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводилась бы к минимуму.
Побуждение - метод защиты, побуждающий пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Принуждение- метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.
Рассмотренные методы реализуются на практике за счет применения различных средств защиты.
К основным средствам защиты относятся следующие.
Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.)
Программные средства - это программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.
Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.
Для реализации мер безопасности используются различные механизмы шифрования (криптографии).
Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Наряду с шифрованием внедряются следующие механизмы безопасности:
· цифровая подпись;
· контроль доступа;
· обеспечение целостности данных;
· обеспечение аутентификации;
· управление маршрутизацией;
· арбитраж или освидетельствование.
При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, но в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.
Защита информации может осуществляться разными методами, но наибольшей надежностью и эффективностью обладают системы и средства, построенные на базе криптографических методов.