НаправлениЯ, методы и средства обеспеЧениЯинформационной безопасности
К основным аспектам проблемы обеспечения информационной безопасности относятся [63]:
· защита государственной тайны, т.е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
· защита прав граждан на владение, распоряжение и управление принадлежащей им информацией;
· защита прав предпринимателей при осуществлении ими коммерческой деятельности;
· защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
· защита технических и программных средств информатики от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий и иных форс-мажорных обстоятельств с целью сохранения возможности управления процессом обработки.
В настоящее время в проблеме защиты информационного ресурса существует два направления, отличающихся по существу общественных отношений и формой организации. Это защита государственного информационного ресурса и защита информации независимого сектора экономики.
Функционально государственная система защиты информации должна в полной мере обеспечивать решение таких задач, как:
· разработка общей технической политики и концепций обеспечения безопасности информации;
· разработка законодательно-правового обеспечения проблемы, участие в подготовке законодательных актов в смежных областях;
· координация деятельности органов государственного управления по отдельным направлениям защиты информации;
· разработка нормативно-технических и организационно-распорядительных документов;
· сертификация технических и программных средств по требованиям безопасности;
· лицензирование деятельности по оказанию услуг в сфере безопасности информации;
· надзор (контроль);
· подготовка кадров;
· финансирование важнейших научно-исследовательских и опытно-конструкторских работ;
· страхование;
· информационное обеспечение.
Формирование облика системы защиты информации является сложной системной задачей. В разных странах она сильно различается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, ориентация потребителя и, в первую очередь, армии и государственных структур на приобретение отечественных средств вычислительной техники или на закупку их по импорту, общей культуры общества и, наконец, традиций и норм поведения субъектов правоотношений.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
Для достижения этого требуется:
развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
В этих целях необходимо:
повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
Виды угроз информационной безопасности Российской Федерации.
По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики Российской Федерации;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:
принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;
манипулирование информацией (дезинформация, сокрытие или искажение информации).
«Информационное оружие это:
· средства и методы,
· применяемые с целью нанесения ущерба информационным ресурсам, процессам и системам государства
· негативного информационного воздействия на критически важные системы государства,
· а также массированной психологической обработки населения
· с целью дестабилизации общества и государства».
Другими характеристиками информационного оружия является:
· скрытость,
· длительность,
· воздействие в мирное время,
· внезапность применения в военное время.
Выделяют 4 основных вида:
1. Информационные средства, методы и способы воздействия на психику человека;
Основными современными средствами являются:
· Электронные и печатные СМИ
· Различные печатные и наглядно-демонстрационные средства (плакаты, листовки)
· Средства связи
· Аудио-, видео- и кинопродукция (в том числе и слухи)
· Компьютерные игры
· Компьютерные сети
2. Средства, методы и способы дезинформирования систем принятия решения;
Этот тип объединяет в себе средства, методы и способы дезинформирования индивидуальныхи групповых систем принятия решений с целью выбора ими решений, выгодных дезинформатору.
Основные методы:
· Навязывание информации
· Искажение информации
· Блокирование информации
· Отвлечение внимания на другую информацию
Основные средства:
· СМИ
· Средства связи
· ТКС
3. Средства, методы и способы радиоэлектронной борьбы;
Этот тип включает:
· Средства и методырадиоэлектроннойразведки(перехват и анализ информации в ТКС, перехват и дезинформирование информационных потоков);
· Средства и методырадиоэлектронногопротиводействия(радиопомехи);
· Средства и методы подавления элементов ТКС, теле- и радиовещания, линий связии т.д. (заглушки ТКС).
4. Средства, методы и способы воздействия на программно-техническое обеспечение ТКС и АИС.
Этот тип объединяет средства и методы несанкционированного доступа к АИС и ТКС:
· Уничтожение хищение или искажение информации
· Ограничение или воспрещение доступа к компьютерным системам
· Дезориентация работы компьютерных систем
· Вывод из строя компьютерных систем
Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.
Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.
Угрозы информационной безопасности могут быть классифицированы по различным признакам:
· По аспекту информационной безопасности, на который направлены угрозы:
· Угрозы конфиденциальности (неправомерный доступ к информации).
· Угрозы целостности (неправомерное изменение данных).
· Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).
· По степени преднамеренности действий:
· Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия).
· Преднамеренные (умышленные действия, например, шпионаж и диверсии).
· По расположению источника угроз:
· Внутренние (источники угроз располагаются внутри системы).
· Внешние (источники угроз находятся вне системы).
· По размерам наносимого ущерба:
· Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба).
· Локальные (причинение вреда отдельным частям объекта безопасности).
· Частные (причинение вреда отдельным свойствам элементов объекта безопасности).
· По степени воздействия на информационную систему:
· Пассивные (структура и содержание системы не изменяются).
· Активные (структура и содержание системы подвергается изменениям).
Основные угрозы информационной безопасности: Конфиденциальность, Целостность, Доступность.
- Конфиденциальность (confidentiality) — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
- Доступность (availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным.
- Целостность (integrity) — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Классификация внутренних нарушителей
Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:
· Злонамеренные;
· Халатные;
· Действующие по заказу;
· Ставящие себе цели сами;
· Охотники за конкретной информацией;
· Ворующие все, что смогут.
угрозы целостности.В отношении информации они выражаются в ее несанкционированном или непреднамеренном видоизменении. Впрочем, видоизменение – не совсем удачное слово, поскольку под ним можно понимать изменение формы, а не содержания информации. Под угрозами целостности информации следует иметь в виду именно угрозы изменения ее содержания.
Правомерен вопрос: какое количество информации необходимо изменить, чтобы наступила угроза целостности? Это, безусловно, зависит от вида информации. Если защищаемая информация представляет собой текст, запись голоса, музыкальное произведение, рисунок, то порча или искажение ее части могут не привести к потере качества. Так, естественная избыточность большинства естественных языков, на которых общаются между собой люди, позволяет восстановить полное содержание текста при искажении отдельных букв, слов и даже отдельных фраз.
Угроза целостности представляет опасность не только для данных. Модификация компьютерной программы, делающая возможной перехват управления ЭВМ с целью совершения шпионских или деструктивных действий, тоже является разновидностью угроз целостности. Нарушение целостности информации вредит двум ее прагматическим качествам – полноте и достоверности. Косвенным следствием угрозы целостности является утрата доверия к источнику или носителю информации.