Содержание.
Место информационной безопасности в системе национальной безопасности….3
Современная концепция информационной безопасности…………………………5
Цели и концептуальные основы защиты информации……………………………..6
Критерии, условия и принципы отнесения информации к защищаемой…………10
Классификация конфиденциальной информации по видам тайны и степеням конфиденциальности……………………………………………………………………11
Понятие и структура угроз защищаемой информации…………………………….13
Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию……………………………………………………………………………..15
Причины, обстоятельства и условия, вызывающие дестабилизирующее воздействие на защищаемую информацию………………………………………….16
Виды уязвимости информации и формы ее проявления…………………………..19
Каналы и методы несанкционированного доступа к конфиденциальной информации………………………………………………………………………………22
Модель нарушителя……………………………………………………………………23
Модель угроз…………………………………………………………………………….24
Критерии оценки безопасности информационных технологий…………………25
Методы защиты информации от несанкционированного доступа…………….31
Риски информационной безопасности………………………………………………34
Вредоносные программы и антивирусные программные средства…………….44
Методы программно-аппаратной защиты информации…………………………53
Аттестация объектов информатизации……………………………………………..54
Виды защиты информации……………………………………………………………62
Системы защиты информации……………………………………………………….65
Модели разграничения доступа………………………………………………………71
Криптографические стандарты и их использование в информационных системах…………………………………………………………………………………..75
Способы и средства защиты информации от утечки по техническим каналам..78
Принципы организации информационных систем в соответствии с требованиями по защите информации……………………………………………….82
Основные нормативные правовые акты в области информационной безопасности и защиты информации…………………………………………………83
Отечественные и зарубежные стандарты в области компьютерной безопасности……………………………………………………………………………..88
Принципы и методы организационной защиты информации…………………..93
Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях…………………………………………………………………………………….....96
Лицензирование и сертификация в области защиты информации…………….107
Комплексные системы защиты информации…………………………………….114
Место информационной безопасности в системе национальной безопасности.
Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ. Доктрина выделяет четыре основные составляющие национальных интересов России в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека в области получения и пользования информацией. Для ее реализации необходимо:
повысить эффективность инфраструктуры в интересах общественного развития;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов;
обеспечить конституционные права и свободы человека свободно искать, получать, передавать, производить и распространять информацию любым законным способом;
обеспечить конституционные права и свободы человека на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов в информационной сфере включает в себя доведение до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. Для достижения результата на этом направлении необходимо:
развивать и совершенствовать инфраструктуру единого информационного пространства России;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. В этих целях требуется:
повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности; обеспечить защиту сведений, составляющих государственную тайну; расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.
Современная концепция информационной безопасности.
В Концепции информационной безопасности Российской Федерации на основе анализа современного состояния информационной безопасности определены цели, задачи и ключевые проблемы обеспечения информационной безопасности.
Концепция информационной безопасности России утверждается Советом Безопасности РФ и Президентом РФ и является составной частью Концепции национальной безопасности РФ и служит методологической основой для:
разработки стратегии обеспечения информационной безопасности страны, включающей в себя цели, задачи и комплексную основу мер по её практической реализации;
формирование и поведение государственной политики РФ в области обеспечения информационной безопасности;
разработки целевых программ защиты информационных ресурсов и средств информатизации:
обеспечение органов государственной власти и управления, предприятий и граждан достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;
реализация прав граждан, организаций и государства на получение, распределение и использование информации.
В Концепции впервые осуществлен переход от понятия «защита информации» к более широкому понятию «информационная безопасность». В этом документе подчеркивается необходимость учета и согласования интересов трех основных субъектов, функционирующих в информационной сфере: личности; общества; государства.
Как следствие изменения подхода, в состав объектов информационной безопасности, наряду с традиционными информационными ресурсами, системами переработки информации, информационной инфраструктурой, включены информационные права граждан и системы формирования общественного сознания.
Этапы разработки Концепции
В соответствии с этими приоритетами, основными целями информационной безопасности являются:
Защита национальных интересов России в условиях глобализации информационных процессов, формирования мировых информационных сетей и стремления США и других развитых стран к информационному доминированию.
К основным задачам обеспечения информационной безопасности относятся:
выявление, оценка и прогнозирование источников угроз информационной безопасности;
регулировка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;
регулировка нормативно–правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления и предприятий по обеспечению информационной безопасности;
развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и последствий её нарушения;
обеспечения активного участия России в процессах создания и использования глобальных информационных сетей и систем.
К числу ключевых проблем в области обеспечения информационной безопасности в России относится:
1. Развитие научно–технических основ информационной безопасности, отвечающей современным геополитическим ситуациям и условиям политической и социально–экономического развития РФ.
2. Разработка современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации.
3. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности и их сертификации.
Цели и концептуальные основы защиты информации.
Основу правового обеспечения ИБ России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.
Концепция - генеральный замысел, определяющий стратегию действий.
Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.
Концепция защиты информации предполагает:
Определение понятия, сущности и целей защиты информации.
Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
Дифференциацию защищаемой информации:
а) по степеням конфиденциальности;
б) по собственникам и владельцам.
Определение состава и классификации носителей защищаемой информации.
Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
Определение методов и средств защиты информации.
Кадровое обеспечение защиты информации.
То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативно–правовых документов.
Стратегия национальной безопасности до 2020 года.
Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".
Документ содержит 6 разделов:
Общие положения;
Современный мир и Россия: состояние и тенденции развития;
Национальные интересы Российской Федерации и стратегические национальные приоритеты;
Обеспечение национальной безопасности;
Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии;
Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов.
В Общих положениях дается перечень основных понятий в области национальной безопасности:
Информационная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;
Национальные интересы Российской Федерации - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;
Угроза национальной безопасности - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;
Стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;
Система обеспечения национальной безопасности - силы и средства обеспечения национальной безопасности;
Силы обеспечения национальной безопасности - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;
Средства обеспечения национальной безопасности - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.
В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально новым документом, основной целью которого является планирование развития системы национальной безопасности, в том числе цели, меры и порядок действий для ее обеспечения. Стратегия стала своего рода ответом на новую международную обстановку и отразила взгляды и планы руководства РФ в отношении внешней политики.
Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:
формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.
В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:
Соблюдение прав и свобод человека в области получения информации и пользования ею;
Информационное обеспечение внутренней и внешней государственной политики страны;
Развитие информационных технологий в соответствии со временем;
Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона;
угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России;
угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области ИБ.
Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.
|
Скачать 0.79 Mb.