Информационная безопасность (основа)

информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

 

Основные  составляющие информационной безопасности

 

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный  подход.

 Спектр интересов субъектов,  связанных с использованием информационных  систем, можно разделить на следующие  категории: обеспечение доступности,  целостности и конфиденциальности  информационных ресурсов и поддерживающей  инфраструктуры.

 Поясним понятия доступности,  целостности и конфиденциальности.

Доступность – это возможность  за приемлемое время получить требуемую  информационную услугу.

 Под целостностью подразумевается  актуальность и непротиворечивость  информации, ее защищенность от  разрушения и несанкционированного  изменения.

Конфиденциальность –  это защита от несанкционированного доступа к информации.

 Информационные системы  создаются (приобретаются) для  получения определенных информационных  услуг. Если по тем или иным  причинам предоставить эти услуги  пользователям становится невозможно, это, очевидно, наносит ущерб всем  субъектам информационных отношений.  Поэтому, не противопоставляя  доступность остальным аспектам, выделим ее как важнейший элемент  информационной безопасности. Ярко  ведущая роль доступности проявляется  в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности  применяются, в частности, при анализе  потока финансовых сообщений с целью  выявления кражи, переупорядочения или дублирования отдельных сообщений.

 Целостность оказывается  важнейшим аспектом ИБ в тех  случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные  медицинские процедуры, набор  и характеристики комплектующих  изделий, ход технологического  процесса – все это примеры  информации, нарушение целостности  которой может оказаться в  буквальном смысле смертельным.  Неприятно и искажение официальной  информации, будь то текст закона  или страница Web-сервера какой-либо  правительственной организации.

Конфиденциальность –  самый проработанный у нас  в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные  трудности. Во-первых, сведения о технических  каналах утечки информации являются закрытыми, так что большинство  пользователей лишено возможности  составить представление о потенциальных  рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят  многочисленные законодательные препоны  и технические проблемы. Наконец, конфиденциальные моменты есть также  у многих организаций (даже в упоминавшихся  выше учебных институтах стараются  не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

 

Важность  и сложность проблемы информационной безопасности

 

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком  бы уровне мы ни рассматривали последнюю  – национальном, отраслевом, корпоративном  или персональном.

 Для иллюстрации обратимся  к примерам.

В Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.

По распоряжению президента США Б. Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.

Американский ракетный крейсер "Йорктаун" был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0. Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого ПО с целью снижения стоимости военной техники.

Заместитель начальника управления по экономическим преступлениям  Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток  проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года).

Как сообщил журнал Internet Week от 23 марта 1998 года, потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности. Согласно результатам совместного исследования Института информационной безопасности и ФБР, в 1997 году ущерб от компьютерных преступлений достиг 136 миллионов долларов, что на 36% больше, чем в 1996 году. Каждое компьютерное преступление наносит ущерб примерно в 200 тысяч долларов.

В середине июля 1996 года корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в ПО двигателя могла привести к пожару.

Информационная  безопасность государства характеризуется  степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности (экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и т. д.) по отношению к опасным (дестабилизирующим, деструктивным, ущемляющим интересы страны и др.), информационным воздействиям, причем как к внедрению, так и к извлечению информации.

     

     Принципы обеспечения  информационной безопасности включат  в себя: законность, баланс интересов  личности, общества и государства;  комплексность; системность; интеграция  с международными системами безопасности; экономическая эффективность. 

     

     В повседневной  жизни информационная безопасность  понимается лишь как необходимость  борьбы с утечкой закрытой (секретной)  информации, а также распространением  ложных и враждебных сведений. Осмысление новых информационных  опасностей, особенно технического  плана, в обществе еще не  произошло. На Западе стал популярен  афоризм: "Кто владеет информацией,  тот владеет миром".

 

1. Государственная  политика в информационной сфере

 

 

За последнее время  резко увеличился поток информации, как внешней, так и внутриотраслевой. В связи с постоянной потребностью улучшения эффективности управления растет необходимость более качественной обработки информации. Все это  вместе взятое и заставляет искать новые пути и методы организации  приема, обработки и передачи информационных потоков.

 

Глобализация мирового пространства привела к трансформации пространства как такового: наряду с географическим пространством формируется, в частности, электронное. Традиционное противостояние между государствами осуществляется сегодня к в физическом пространстве, так и в новом виртуальном, или киберпространстве. Информационная деятельность государств диктуется из внутренними интересами: интересами финансово - промышленных групп, их потребностью в сырье, в рынках сбыта продукции, которые невозможно удовлетворить в переделах одного государства.

 

Итак, говоря о государственной  политике в информационной сфере, следует  сказать, что это специфический  вид социального управления посредством  реализации своих властных полномочий всеми органами государственной  власти либо органами исполнительной власти по регулированию отношений, возникающих по поводу информации и  в связи с ее оборотом в социальных системах.

 

Сегодня государство по-прежнему занимает главенствующее положение  по отношению к личности и обществу, при этом интересы личности еще не находятся в центре государственных  интересов, а общество не вышло из состояния "огосударствления". Для  создания условий полной и успешной самореализации личности и становления  гражданского общества необходимо изменить положение личности и общества по отношению к государству, на что, прежде всего, должно быть направлено государственное регулирование, и  в первую очередь нормотворчество. Государство должно помогать становлению  гражданского общества, но не подменять  его; передавать определенные функции  обеспечения интересов личности общественным институтам по мере их создания; определять степень своего участия  в обеспечении защиты интересов  личности и общества под их контролем; помогать создавать в обществе инструменты  влияния на власть. Очевидно, что  продолжение прежней практики нормотворчества  и правоприменения без единой государственной политики в информационной сфере блокирует реализацию конституционных прав граждан, делает трудновыполнимой задачу построения правового государства и информационного общества в России. Как следует из Доктрины информационной безопасности РФ, сегодня нет четкой государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения "информационного оружия" против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании.

 

Доктрина информационной безопасности РФ с учетом сложившегося положения дел определяет как  безотлагательные для решения следующие  задачи:

 

ь разработка и создание механизмов формирования и реализации государственной информационной политики России;

 

ь разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

 

ь разработка основных направлений государственной политики в области обеспечения информационной безопасности РФ, а также мероприятий и механизмов, связанных с реализацией этой политики;

 

ь развитие и совершенствование системы обеспечения информационной безопасности РФ, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности РФ, а также системы противодействия этим угрозам;

 

ь разработка, принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов РФ, обеспечения информационной безопасности РФ;

 

ь гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения;

 

ь разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности РФ, а также сертификации этих систем и средств;

 

ь совершенствование нормативной правовой базы обеспечения информационной безопасности РФ, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;

 

ь установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности; координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности РФ;

 

ь развитие научно-практических основ обеспечения информационной безопасности РФ с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";