инф без. История развития средств и методов защиты информации
 Скачать 1.69 Mb.
|
|
Место информационной безопасности в системе национальной безопасности России Необходимым условием нормального существования и развития каждого общества является защищенность от внешних и внутренних угроз, устойчивость к попыткам внешнего давления, способность как парировать такие попытки и нейтрализовать возникающие угрозы, так и обеспечивать такие внутренние и внешние условия существования страны, которые гарантируют возможность стабильного и всестороннего прогресса общества и его граждан. Для характеристики этого состояния используется понятие национальная безопасность. Национальная безопасность – состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства. Стратегия национальной безопасности Российской Федерации (до 2020 года) – это официально признанная система стратегических приоритетов, целей и мер внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу. Ее основные положения описаны в документе «Стратегия национальной безопасности Российской Федерации (до 2020 года)». Он является базовым документом по планированию развития системы обеспечения национальной безопасности Российской Федерации, в котором излагаются порядок действий и меры по обеспечению национальной безопасности. Согласно ему основными направлениями обеспечения национальной безопасности РФ являются стратегические национальные приоритеты, которыми определяются задачи важнейших социальных, политических и экономических преобразований для создания безопасных условий реализации конституционных прав и свобод граждан Российской Федерации, осуществления устойчивого развития страны, сохранения территориальной целостности и суверенитета государства. Сферами обеспечения национальной безопасности являются: внутриполитическая, экономическая, социальная, сфера науки и образования, международная, информационная экологическая, военная, сфера общественной безопасности, оборонно-промышленная сфера, духовная. Информационная безопасность играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это, в первую очередь, обусловлено насущной потребностью, создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства. В политической сфере все большее значение приобретают информационные факторы. В традиционном противостоянии политических соперников растут удельный вес и значимость информационно-психологического воздействия. Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. В то же время растет уязвимость экономических структур от недостоверности, запаздывания и незаконного использования экономической информации. В военной сфере исход вооружённой борьбы все в большей степени зависит от качества добываемой информации и уровня развития информационных технологий, на которых основываются системы разведки, радиоэлектронной борьбы, управления войсками и высокоточным оружием. В сфере духовной жизни возникает опасность развития в обществе агрессивной потребительской идеологии, тотальной коммерциализации культуры, распространения идей насилия и нетерпимости, воздействия на психику разрушительных форм мифологизированного сознания. Эти угрозы и защита от них, а также утверждение нравственных ценностей реализуются внутри информационной среды и прежде всего через средства массовой информации и формирования общественного мнения. Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан. Доктрина информационной безопасности Документ состоит из 38 статей, разбитых на пять глав. Текст начинается с указания национальных интересов в сфере национальной безопасности. Далее идет перечисление основных информационных угроз в современном мире. На основании этих угроз формируются стратегические цели национальной политики, касающиеся экономики, военной сферы, дипломатии, науки и образования. Национальные интересы Обеспечение и защита конституционных прав и свобод человека и гражданина в части, касающейся получения и использования информации. Обеспечение в России устойчивого и бесперебойного функционирования критической информационной инфраструктуры. Развитие в России отрасли информационных технологий и электронной промышленности. Продвижение достоверной информации о госполитике России и ее официальной позиции по социально значимым событиям в стране и мире. Содействие формированию системы международной информационной безопасности. Основные информационные угрозы Ряд западных стран наращивает возможности информационно-технического воздействия на информационную инфраструктуру в военных целях. Усиливается деятельность организаций, осуществляющих техническую разведку в России. Спецслужбы отдельных государств пытаются дестабилизировать внутриполитическую и социальную ситуацию в различных регионах мира. Цель — подрыв суверенитета и нарушение территориальной целостности государств. Методы — использование информационных технологий, а также религиозных, этнических и правозащитных организаций. В зарубежных СМИ растет объем материалов, содержащих предвзятую оценку государственной политики России. Российским журналистам за рубежом создаются препятствия, российские СМИ подвергаются «откровенной дискриминации». Террористические и экстремистские группировки нагнетают межнациональную и социальную напряженность, занимаются пропагандой, привлекают новых сторонников. Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере. Растет число преступлений, связанных с нарушением конституционных прав и свобод человека, неприкосновенности частной жизни, защиты персональных данных. Эти преступления становятся все изощреннее. Иностранные государства усиливают разведывательную деятельность в России. Растет количество компьютерных атак на объекты критической информационной инфраструктуры, их масштабы и сложность растут. Высокий уровень зависимости отечественной промышленности от зарубежных информационных технологий (электронная компонентная база, программное обеспечение, вычислительная техника, средства связи). Низкий уровень эффективности российских научных исследований, направленных на создание перспективных информационных технологий. Отечественные разработки плохо внедряются, кадровый потенциал в этой области низкий. Отдельные государства используют технологическое превосходство для доминирования в информационном пространстве. Управление интернетом на принципах справедливости и доверия между разными странами невозможно. Стратегические цели Стратегической целью обеспечения информационной безопасности в области обороны страны является защита жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, связанных с применением информационных технологий в военно-политических целях, противоречащих международному праву, в том числе в целях осуществления враждебных действий и актов агрессии, направленных на подрыв суверенитета, нарушение территориальной целостности государств и представляющих угрозу международному миру, безопасности и стратегической стабильности. В военной политике: Стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий. Совершенствование системы обеспечения информационной безопасности армии. Прогнозирование, обнаружение и оценка информационных угроз. Содействие обеспечению защиты интересов союзников России в информационной сфере. Нейтрализация информационно-психологического воздействия, в том числе направленного на подрыв исторических основ и патриотических традиций, связанных с защитой Отечества. В области государственной и общественной безопасности: Противодействие использованию информационных технологий для пропаганды экстремизма, ксенофобии и национализма. Повышение защищенности критической информационной инфраструктуры. Повышение безопасности функционирования образцов вооружения, военной и специальной техники и автоматизированных систем управления. Обеспечение защиты информации, содержащей сведения, составляющие государственную тайну. Повышение эффективности информационного обеспечения реализации государственной политики. Нейтрализация информационного воздействия, направленного на размывание традиционных российских духовно-нравственных ценностей. В экономике: Инновационное развитие отрасли информационных технологий. Ликвидация зависимости отечественной промышленности от зарубежных информационных технологий. Развитие отечественной конкурентоспособной электронной компонентной базы и технологий производства электронных компонентов. В науке и образовании: Достижение конкурентоспособности российских информационных технологий. Развитие кадрового потенциала в области обеспечения информационной безопасности. Формирование у граждан культуры личной информационной безопасности. В международных отношениях: Осуществление самостоятельной и независимой информационной политики. Участие в формировании системы международной информационной безопасности. Обеспечение равноправного и взаимовыгодного сотрудничества всех заинтересованных сторон в информационной сфере, продвижение российской позиции в соответствующих международных организациях. Организационная основа системы обеспечения информационной безопасности Совет Федерации Государственная дума Правительство Совет Безопасности Федеральные органы исполнительной власти (федеральные службы и агентства) Центральный банк Военно-промышленная комиссия Межведомственные органы, создаваемые президентом и правительством Органы исполнительной власти субъектов Органы местного самоуправления Органы судебной власти. Участники системы обеспечения информационной безопасности Собственники и эксплуатанты объектов критической информационной инфраструктуры СМИ Банки Операторы связи и информационных систем Разработчики информационных систем и сетей связи. Понятие, сущность и цели защиты информации В связи с тем, что информация является предметом собственности, то неизбежно возникает проблема угрозы безопасности этой информации, заключающейся в неконтролируемом ее распространении, хищении, несанкционированном уничтожении, искажении, передаче, контролировании, блокировании доступа к информации, т.е. нарушении ее основных свойств: конфиденциальности, целостности, доступности. Следовательно, возникает проблема защиты информации от утечки и несанкционированных воздействий на информацию и ее носители, а также предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы. В связи с этим, понятие «защита информации» становится основополагающим понятием и рассматривается как процесс или деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее и включая правовые, организационные и технические меры, обеспечивающие конфиденциальность, доступность и целостность защищаемой информации. Сущность защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации. Цели и методы защиты информации отражают ее сущность. В этом смысле защита информации отождествляется с процессом обеспечения информационной безопасности, как глобальной проблемы безопасного развития мировой цивилизации, государств, сообществ людей, отдельного человека, существования природы. При этом понятие информационная безопасность характеризует состояние (свойство) информационной защищенности человека, общества, природы в условиях возможного действия угроз и достигается системой мер, направленных: На предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения; На выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению; На обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий; На локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий; На ликвидацию последствий угроз и преступных действий и восстановление статус-кво. Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами. Предупреждение угроз возможно и путем получения информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников. Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения. В соответствии с этими целями процесс защиты информации должен обеспечить поддержание целостности и конфиденциальности информации. Состав и основные свойства защищаемой информации В соответствии с Федеральным законом от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» информация – сведения (сообщения, данные) независимо от формы их представления. Основополагающей формой информации в праве и законодательстве РФ являются: Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель; Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, банках данных, др. информационных системах). Основными реквизитами являются наименование документа, регистрационный номер, дата создания и регистрации, автор и (или) исполнитель (Ф.И.О.), атрибуты учреждения, гриф секретности или конфиденциальности, если документ относится к таковым. Конфиденциальность, целостность, доступность – свойства информации. Конфиденциальность – свойство (характеристика) информации, указывающая на необходимость ограничения круга субъектов, имеющих доступ к данной информации. Целостность – свойство информации существовать в неискаженном виде. Доступность - свойство системы, в которой циркулирует информация, обеспечивать своевременный беспрепятственный доступ субъектов к интересующей информации. К защищаемой информации относят информацию, являющуюся предметом собственности и подлежащую защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником могут выступать государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. Защищаемая информация делится на: Информацию с ограниченным доступом (государственная тайна, коммерческая тайна, персональные данные, профессиональная тайна, служебная тайна. Защищаемые свойства: конфиденциальность, целостность, доступность; Общедоступная информация (общедоступная информация и информация, доступ к которой не ограничен). Защищаемые свойства: целостность, доступность; Объекты интеллектуальной собственности. Защищаемые свойства: защита от нелегального тиражирования, целостность, доступность для легальных пользователей. Информацию относят к категории защищаемой, если она удовлетворяем трем принципам: Законности – заключается в соответствии законодательству Об информации, информационных технологиях и о защите информации, о тайнах (гос. тайне, коммер. тайне, персональных данных и др.), о собственности и об интеллектуальной собственности; Обоснованности – заключается в установлении путем экспертной оценки целесообразности отнесения к конфиденциальным конкретных сведений, вероятных экономических и иных (гражданско-правовых) последствий этого акта, исходя из интересов бизнеса и баланса государства, общества и граждан; Своевременности – заключается в установлении ограничений, связанных с доступом к защищаемой информации с момента ее получения. |