Тези. Министерство внутренних дел российской федерации краснодарский университет
 Скачать 1.1 Mb.
|
|
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ КРАСНОДАРСКИЙ УНИВЕРСИТЕТ Кафедра информационной безопасности «УТВЕРЖДАЮ» Врио начальника кафедры кандидат технических наук, доцент майор полиции А.Б.Сизоненко «___» _________ 2013 г. Дисциплина «ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНАХ ВНУТРЕННИХ ДЕЛ» для всех специальностей и форм обучения ЛЕКЦИЯ Тема № 1 Основные понятия информационной безопасности органов внутренних дел
КРАСНОДАР 2013 КУРС - ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ ТЕМА № 1 «Основные понятия информационной безопасности органов внутренних дел» ЛЕКЦИЯ Время - 2 часа ЦЕЛЬ: Дать понятие информации, информационной безопасности, защиты информации. Рассмотреть правовое обеспечение безопасности информации. Определить концепции информационной безопасности. ОСНОВНЫЕ ВОПРОСЫ: Введение. 1. Основные понятия информационной безопасности и защиты информации. 2. Структура информационной сферы. Основные составляющие национальных интересов России (интересы личности, общества и государства) в информационной сфере. 3. Информационная безопасность и безопасность информации. Виды и источники угроз информационной безопасности страны. Принципы государственной политики обеспечения информационной безопасности Российской Федерации. Особенности построения единой системы информационной безопасности России. 4. Информационная сфера и информационная безопасность органов внутренних дел. Важнейшие составляющие интересов в информационной сфере и основные угрозы информационной безопасности органов внутренних дел. Литература: 1. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005. 2. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009. 3. ГОСТ Р ИСО/МЭК 17799-2005 4. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006). 5. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005 6. Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005). 7. Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895). 8. Копылов В. А. Информационное право. М.: Юристъ, 2005. 9. Приказ МВД РФ №169 от 14.03.2012 года «Об утверждении Концепции обеспечения информационной безопасности органов внутренних дел Российской Федерации до 2020 года». 10. Приказ МВД РФ №25 от 16.01.2012 года «Об утверждении Комплекса мер по обеспечению информационной безопасности и защиты данных информационных систем МВД России с учетом реализации "облачной архитектуры». Введение В настоящее время критически важным государственным ресурсом, обеспечивающим национальную безопасность, становится информация, циркулирующая в телекоммуникационных и компьютерных системах различного назначения. Эти системы являются неотъемлемым компонентом структуры управления государством и обороной. Возможность воздействия на них противостоящей стороной может рассматриваться как прямая угроза национальным интересам. Информация уже стала товаром и мощным ресурсом. Увеличение добавленной стоимости в экономике происходит сегодня в значительной мере за счет интеллектуальной деятельности, повышения технологического уровня производства и распространения современных информационных и телекоммуникационных технологий [15]. В Российской Федерации принята Стратегия развития информационного общества [15], которая определяет, что такое общество характеризуется высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти. Так к 2015 году доля государственных услуг, которые население может получить с использованием информационных и телекоммуникационных технологий, в общем объеме государственных услуг в Российской Федерации должна достичь 100%; доля электронного документооборота между органами государственной власти в общем объеме документооборота - 70% и т. д. [15] Развитие современных информационных технологий, под которыми понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов, является одними из важнейших составляющих национальных интересов Российской Федерации в информационной сфере [9]. Наряду с преимуществами построения информационного общества, увеличиваются и риски, связанные с существованием угроз безопасности информационным и телекоммуникационным средствам и системам. Вот лишь некоторые из них : разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно - телекоммуникационных систем, в том числе систем защиты информации; уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи; компрометация ключей и средств криптографической защиты информации; утечка информации по техническим каналам; уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; несанкционированный доступ к информации, находящейся в банках и базах данных. Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, также является одним из основных национальных интересов в информационной сфере. Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются [7]: предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств; исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи; предотвращение специальных программно - технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности. 1. Основные понятия информационной безопасности и защиты информации. Информационная безопасность государства [1] — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере. В современном социуме информационная сфера имеет две составляющие [2]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. Стандартизированные определения: Информационная безопасность [3] – механизм защиты обеспечивающий конфиденциальность, целостность и доступность информации. 1. Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям. 2. Целостность: Обеспечение достоверности и полноты информации и методов ее обработки. 3. Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность [4] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки. Безопасность информации (данных) (англ. information (data) security)[5] – с стояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе. Безопасность информации (при применении информационных технологий) (англ. IT security)[5] — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. Безопасность автоматизированной информационной системы[5] — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов. Существенные признаки понятия информационной безопасности: В качестве стандартной модели безопасности часто приводят модель из трёх категорий: конфиденциальность (англ. confidentiality)[5] — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право; целостность (англ. integrity)[7] — избежание несанкционированной модификации информации; доступность (англ. availability)[8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа. Выделяют и другие не всегда обязательные категории модели безопасности: неотказуемость или апеллируемость (англ. non-repudiation)[4] — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты; подотчётность (англ. accountability)[6] — обеспечение идентификации субъекта доступа и регистрации его действий; достоверность (англ. reliability)[4] — свойство соответствия предусмотренному поведению или результату; аутентичность или подлинность (англ. authenticity) [4] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Рекомендации по использованию терминов: В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «безопасность» и «безопасный»: Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например: «защитный шлем» вместо «безопасный шлем»; «нескользкое покрытие для пола» вместо «безопасное покрытие». Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности». В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: Акты федерального законодательства: Международные договоры РФ; Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д. К нормативно-методическим документам можно отнести: Методические документы государственных органов России: Доктрина информационной безопасности РФ; Руководящие документы ФСТЭК (Гостехкомиссии России); Приказы ФСБ; Стандарты информационной безопасности, из которых выделяют: Международные стандарты; Государственные (национальные) стандарты РФ; Рекомендации по стандартизации; Методические указания. 2. Структура информационной сферы. Основные составляющие национальных интересов России (интересы личности, общества и государства) в информационной сфере. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[7] Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать [7]. Именно в информационной сфере возникают общественные отношения, подлежащие правовому регулированию, при выполнении информационных процессов. Эти общественные отношения составляют основной предмет информационного права, предмет его правового регулирования. Информационная сфера может быть разделена на пять предметных областей [8]: реализация права на поиск, получение, передачу и применение информации; производство, передача и распространения исходной и производной информации; формирование информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг; создание и применения информационных систем (АИС, БД, баз знаний), других информационно-телекоммуникационных технологий; создание и применение средств и механизмов информационной безопасности, в том числе средств информатики и вычислительной техники для безопасности сетей ЭВМ, а также программных и аппаратных средств защиты информации в ЭВМ и компьютерных сетях. В Доктрине информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895) выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере: 1. Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. Для достижения этого требуется: - повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации; - усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации; - обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды; - обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; - укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации; - гарантировать свободу массовой информации и запрет цензуры; - не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды; - обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством. 2. Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для достижения этого требуется: - укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан; - интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования. 3. Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности. Для достижения этого требуется: - развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации; - развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов; - развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем; - обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи. 4. Защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо: - повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; - интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью; - обеспечить защиту сведений, составляющих государственную тайну; - расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере. |