Главная страница
Навигация по странице:

  • Основные формы организации работ по защите информации. Основные субъекты государственной системы защиты информации.

  • Государственная система организационно-правового обеспечения информационной безопасности

  • Информационная безопасность и ее составляющие

  • инф без. История развития средств и методов защиты информации


    Скачать 1.69 Mb.
    НазваниеИстория развития средств и методов защиты информации
    Анкоринф без
    Дата26.02.2021
    Размер1.69 Mb.
    Формат файлаdocx
    Имя файлаинф без.docx
    ТипДокументы
    #179733
    страница3 из 18
    1   2   3   4   5   6   7   8   9   ...   18

    Основные категории органов защиты информации

         Государственная система защиты информации подразумевает необходимость разделения прав и обязанностей между субъектами обеспечения защищенности информации: государством, предприятиями, их объединениями, учреждениями и организациями, а также отдельными должностными лицами.

         Государство, как основной субъект обеспечения защиты информации, через свои органы законодательной, исполнительной и судебной властей с целью создания условий для осуществления защиты и координации действий по защите информации организует:

    • создание системы правовых норм, регулирующих отношения в области защиты информации;

    • проведение единой технической политики в этой области, разработку государственных программ по защите информации, требований, норм и рекомендаций;

    • создание технических систем и средств защиты и контроля;

    • согласование проводимых работ по защите информации, общее и методическое руководство ими;

    • общий контроль за состоянием защиты информации в стране, отдельных регионах и на важнейших объектах защиты.

         Предприятия и их объединения, учреждения и организации, независимо от их организационно-правовой формы и формы собственности, а также отдельные должностные лица, выполняющие работы, связанные с использованием сведений, отнесенных к государственной и служебной тайнам, должны обеспечить их защиту.

         В соответствии с изложенными задачами государственной системы защиты информации в ее организационной структуре можно выделить пять основных категорий органов защиты информации, реализующих следующие функции:

    1. Административные – формируют общую стратегию информационной безопасности, осуществляют общую организацию и координацию работ, решают вопросы финансирования работ, организуют промышленное производство средств защиты. В общегосударственном масштабе рассмотренные функции реализуют такие органы, как Совет безопасности РФ, Межведомственная комиссия по вопросам защиты государственной тайны, ФСТЭК РФ. На региональном уровне могут создаваться аналогичные органы при руководящих органах управления субъектов РФ. Практически во всех ведомствах, особенно в силовых (ФСБ, МВД, ФСО РФ и др.) существуют постоянно действующие комиссии по вопросам информационной безопасности.

    2. Научно-исследовательские – организуют осуществление научно-исследовательских и опытно-конструкторских работ, координируют проведение исследований и разработок в области защиты информации. К таким органам на государственном уровне относятся всероссийские научно-исследовательские институты и центры, работающие под непосредственным руководством ФСТЭК России. Многие силовые ведомства имеют свои научно-исследовательские органы, например, в МВД – Научно-исследовательский институт специальной техники.

    3. Учебно-методические – осуществляют подготовку и повышение квалификации специалистов в области обеспечения информационной безопасности, проводят исследования в этой области, разрабатывают учебную и учебно-методическую базу преподавания дисциплин по защите информации. На государственном уровне эти функции выполняют учебно-методические объединения, разрабатывающие единую политику в области подготовки специалистов, руководящие нормативные документы (образовательные стандарты, программы и т.д.), координирующие данную деятельность в России.  Кроме того, существует множество вузов общероссийского масштаба, а также ведомственных и региональных учебных заведений, готовящих специалистов по информационной безопасности.

    4. Специализированные центры защиты информации – проводят научно-исследовательские и опытно-конструкторские работы в области информационной безопасности, оказывают широкий спектр услуг предприятиям, учреждениям и фирмам в этой области. Такие центры, как на государственном, так и на региональном уровне могут проводить аттестацию объектов обрабатывающих сведения, содержащие государственную тайну, или персональные данных;  производить специальные проверки помещений, специальное исследование технических средств; разрабатывать и устанавливать на объектах системы защиты информации и другие работы. Причем, центры могут создаваться как на государственной, так и на коммерческой основе. Например, наиболее крупными негосударственными центрами защиты информации в России являются фирмы «NOVO», «Нелк», «Конфидент» и др.

    5. Службы защиты информации – осуществляют решение всего комплекса вопросов, связанных с непосредственной защитой информации. Такие службы в обязательном порядке создаются на объектах, обрабатывающих сведения, составляющие государственную тайну, на предприятиях оборонной промышленности. Свои службы защиты информации могут создавать и банки, крупные государственные предприятия и коммерческие фирмы.

    Основные формы организации работ по защите информации. Основные субъекты государственной системы защиты информации.

         Существующий состав органов защиты информации охватывает все уровни государственного управления и все сферы деятельности государства, связанные с использованием секретной и служебной информации, и обеспечивает проведение мероприятий по защите информации постоянно на всей территории страны. Основными формами организации работ по защите информации являются:

    • осуществление государственного заказа на проведение соответствующих работ;

    • лицензирование деятельности предприятий и организаций по вопросам защиты информации и допуска предприятий к работе со сведениями, составляющими государственную тайну;

    • сертификация систем и средств получения, обработки, хранения и передачи информации в части защищенности информации от утечки по техническим каналам, а также средств защиты и контроля;

    • аттестация объектов по выполнению требований безопасности информации;

    • проведение контрольных мероприятий по оценке эффективности защиты информации.

         Органы государственной системы защиты информации в своей деятельности руководствуются решениями высших органов федеральной власти по вопросам:

    • назначения особого режима закрытия административно-территориальных образований;

    • регламентируемого посещения иностранными представителями отдельных объектов и территорий;

    • выбора приоритетных направлений защиты информации в жизненно-важных сферах деятельности государства;

    • осуществления единой технической политики, правового регулирования защиты информации и экспертизы наиболее важных сведений.

         Основными государственными органами, осуществляющими организацию защиты информации в различных сферах деятельности, являются ФСБ, ФСО, МВД, Минобороны, Минатом России и входящие в них структурные подразделения защиты информации. Эти органы в пределах своей компетенции имеют определенные цели и объекты защиты и располагают специфическими способами защиты. Их права и функции в области защиты информации определяются соответствующими законами и положениями об этих органах.

         Подразделения по защите информации являются самостоятельными структурными подразделениями или входят в состав одного из основных научно-технических или специальных управлений органа государственной власти. Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия и организации, имеющие лицензии на проведение работ в области защиты информации.

         Значительная роль в государственной системе защиты информации отводится научно-исследовательским, научно-техническим, проектным и конструкторским организациям, которые призваны внести свой вклад не только в разработку всей совокупности нормативных и методических документов по защите информации, но и реально на практике реализовать разработку и внедрение методов, способов и средств защиты информации.

         С принятием в последнее время Правительством Российской Федерации ряда нормативных документов по проблеме защиты государственной тайны более активно стали развиваться региональные структуры по защите информации в субъектах РФ.

         Важное место в государственной системе защиты информации принадлежит высшим учебным заведениям и институтам повышения квалификации по подготовке и переподготовке кадров в области защиты информации, которые осуществляют:

    • первичную подготовку специалистов по комплексной защите информации;

    • переподготовку (повышение квалификации) специалистов по защите информации органов государственной власти и предприятий;

    • усовершенствование знаний руководителей органов государственной власти и предприятий в области защиты информации.

         Таким образом, в настоящее время в основном завершен организационный период создания государственной системы защиты информации. За время становления накоплен обширный опыт ее функционирования в переходный период, характеризовавшийся формированием новой законодательно-правовой базы в области защиты информации, уточнением полномочий и функций элементов этой системы.

         Следующий этап развития государственной системы защиты информации заключается в разработке и практическом освоении специалистами методического обеспечения, адекватного целям и задачам этой системы. Необходимо проведение научных исследований по вопросам комплексной оценки потенциальных угроз безопасности информации и эффективности системы ее защиты, а также лицензирования деятельности в области защиты, сертификации средств защиты, определения ущерба от несанкционированного распространения информации, регламентации правовой и материальной ответственности должностных лиц и специалистов за утечку информации по техническим каналам связи, ее разрушение, искажение и утрату.

    Государственная система организационно-правового обеспечения информационной безопасности

         Организационно-правовое обеспечение информационной безопасности представляет собою совокупность решений, законов, нормативных актов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база защиты информации должна обеспечивать выполнение следующих основных функций:

    1. разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;

    2. определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области;

    3. создание полного комплекса нормативно-правовых руководящих и методических документов, регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;

    4. определение мер ответственности за нарушения правил защиты;

    5. определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

         Разработка законодательной базы информационной безопасности является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития государства. Особое внимание к формированию такой базы вызвано неуклонным ростом затрат на борьбу с «информационными» преступлениями.

         Основой для создания государственной системы организационно-правового обеспечения информационной безопасности является рассмотренная выше государственная система защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и направленных на обеспечение безопасности информационных ресурсов.

         Государственная система организационно-правового обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:

    • защита государственных секретов;

    • защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;

    • создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;

    • борьба с компьютерной преступностью, в первую очередь в финансовой сфере;

    • защита персональных данных;

    • страхование информации и информационных систем;

    • сертификация и лицензирование в области защиты информации, контроль безопасности информационных систем;

    • организация взаимодействия в сфере защиты информации со странами СНГ и другими государствами.

         Анализ современного состояния информационной безопасности в России показывает, что уровень ее в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. К негативным факторам, осложняющим обеспечение информационной безопасности, относятся:

    • обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение;

    • несовершенство нормативно-правовой базы, отсутствие действенных механизмов регулирования информационных отношений в обществе и государстве;

    • слабое обеспечение органов государственной власти и управления полной и достоверной информацией, неразвитость информационных отношений в сфере предпринимательства;

    • недостаточная защищенность государственного информационного ресурса и слабость мер по обеспечению сохранности государственных секретов в органах государственной власти и управления;

    • необеспеченность прав граждан на информацию, манипулирование информацией, вызывающее неадекватную реакцию населения и ведущее к политической нестабильности в обществе.

         Такое положение в области обеспечения информационной безопасности требует безотлагательного решения ряда ключевых организационно-правовых проблем:

    1. Развитие концепции информационной безопасности, являющейся основой государственной политики в этой области.

    2. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности.

    3. Разработка механизмов реализации прав граждан на информацию.

    4. Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области.

    5. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

    6. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности.

    7. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.

    8. Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.

    Информационная безопасность и ее составляющие

         В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" трактуется так: «Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

         Национальный стандарт РФ ГОСТ Р 509222006 «Защита информации. Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

         Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

    1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;

    2. административный – комплекс мер, предпринимаемых локально руководством организации;

    3. процедурный уровень – меры безопасности, реализуемые людьми;

    4. программно-технический уровень – непосредственно средства защиты информации.

         Комплекс мер для достижения информационной безопасности системы направлен на обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

         Понятие «доступность» означает возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации.

         Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

         Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

         Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

         Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

         Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

         Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

         Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

         Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

         Такими компонентами концептуальной модели безопасности информации могут быть следующие:

    • объекты угроз;

    • угрозы;

    • источники угроз;

    • цели угроз со стороны злоумышленников;

    • источники информации;

    • способы неправомерного овладения конфиденциальной информацией (способы доступа);

    • направления защиты информации;

    • способы защиты информации;

    • средства защиты информации.

         Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

         Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

         Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

         Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

         Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанными программно-аппаратными средствами.

         В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
    1   2   3   4   5   6   7   8   9   ...   18


    написать администратору сайта