- •5. Общая характеристика методов и средств защиты информации.
- •6. Компьютерная система как объект информационного воздействия. Методы нарушения конфиденциальности, целостности и доступности информации.
- •7.Основные направления обеспечения информационной безопасности объектов информационной сферы государства в условиях информационной войны.
- •8.Анализ современных подходов к построению систем защиты информации.
- •9.Организационно-правовые, программно-аппаратные и инженерно-технические методы защиты информации.
- •10. Технические каналы утечки информации.
- •11. Угрозы информационной безопасности объекта. Классификация угроз. Источники угрозы
- •12. Проблемы региональной информационной безопасности
- •13. Модель компьютерного нарушителя. Типы нарушителей.
- •14. Вредоносные программы. Антивирусная защита
- •15. Информационное оружие, его классификация и возможности. Объекты информационной войны в военное и мирное время
- •Организационное и правовое обеспечение информационной безопасности
- •16. Защита персональных данных в организации
- •17. Понятие компьютерных преступлений и их классификация
- •18.Классификация информационных систем персональных данных
- •Требования к защите персональных данных при их обработке в информационных системах персональных данных
- •19. Основные методы и способы защиты информации в испДн для различных классов этих систем.
- •II Состав и содержание мер по обеспечению безопасности персональных данных
- •Состав и содержание мер по, обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
- •20. Порядок сертификации средств защиты информации и правовое регулирование лицензионной деятельности в области защиты информации.
- •21. Государственная тайна как особый вид защищаемой информации и её характерные признаки.
- •Вопрос 2. Характерные признаки государственной тайны
- •22. Организация подготовки и проведения совещаний и переговоров по конфиденциальным вопросам.
- •23. Коммерческая тайна и ее защита. Организация режима коммерческой тайны на предприятии.
- •24. Место организационной защиты информации в системе комплексной защиты информации
- •25. Принципы, методы и формы организационной защиты информации. Соотношение организационных и правовых, организационных и технических методов защиты информации
- •26. Структура сил и средств организационной защиты на объекте.
- •27. Служба безопасности объекта. Типовая структура службы безопасности.
- •28. Организация пропускного и внутри объектового режимов.
- •29. Работа с персоналом, имеющим допуск к конфиденциальной информации. Особенности подбора персонала на должности, связанные с работой с конфиденциальными документами.
- •30. Организация системы доступа к защищаемой информации.
Основы информационной безопасности
Доктрина информационной безопасности Российской Федерации. Основные положения.
Доктрина ИБ РФ - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Утверждена в 2000 году В.В. Путиным.
Настоящая доктрина служит основой для:
формирования государственной политики в области обеспечения информационной безопасности РФ;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
разработки целевых программ обеспечения информационной безопасности РФ.
?Информационная безопасность (В ДОКТРИНЕ) - это состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:
Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.
Информационное обеспечение государственной политики РФ(доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.
Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.
Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
Виды угроз информационной безопасности РФ в доктрине
1. Угрозы, направленные на конституционные права и свободы человека в области
2. Угрозы информационному обеспечению государственной политики РФ.
3. Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.
4. Угрозы безопасности информационных и телекоммуникационных средств и систем.
Методы обеспечения информационной безопасности РФ в доктрине:
Правовые методы
- Разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ
- разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ
Организационно-технические методы
- создание системы информационной безопасности РФ и ее совершенствование
- привлечение лиц к ответственности, совершивших преступления в этой сфере
- создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации
- выявление средств и устройств представляющих опасность для нормального функционирования систем, предотвращение перехвата информации с применение средств криптографической защиты как при передаче информации, так и при ее хранении
- контроль за выполнением требований по защите информации
- контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ
- создание системы мониторинга информационной безопасности РФ
Экономические методы
- Разработка программ обеспечения информационной безопасности и их финансирование
-финансирование работ связанных с обеспечением информационной безопасности РФ
Доктрина служит основой для:
формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Виды безопасности и сферы жизнедеятельности личности, общества и государства: экономическая, внутриполитическая, социальная, международная, информационная, военная, пограничная, экологическая и другие.
НО!!!!! Закон РФ от 5 марта 1992 №2446-1 О безопасности утратил силу. См. http://base.garant.ru/10136087/ ВС РФ от 5 марта 1992 О введении в действие Закона Российской Федерации О безопасности (новый закон не содержит нижеследующих абзацев)
По моему мнению, это недочет Баяна, надо было актуализировать вопрос.
В соответствии с Законом РФ от 5 марта 1992г. №2446-1 О безопасности. Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. При этом жизненно важные интересы совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного бытия личности, общества и государства. Угроза безопасности совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Основными принципами обеспечения безопасности являются законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность личности, общества. Безопасность можно классифицировать на виды: внешняя , внутренняя, международная, политическая, военная, экономическая , социальная , информационная, экологическая, интеллектуальная , генетическая, общественная и др.
Внешняя безопасность защищенность национальных интересов , национальных ценностей и образа жизни от угроз, исходящих извне Российской Федерации. Может нарушаться как военным путем, так и иными способами (незаконный ввоз и вывоз через границу сырья, продукции, валюты, художественных и других ценностей; промышленный и иной шпионаж, распространение подрывной информации и др.).
Внешние источники угроз ИБ: деятельность иностранных разведывательных и специальных служб; недружественная политика иностранных государств в области распространения информации (например, через СМИ); деятельность конкурирующих экономических структур; стихийные бедствия и катастрофы.
Внутренняя безопасность защищенность национальных интересов, национальных ценностей и образа жизни от угроз, исходящих от процессов, организаций, лиц и объектов, находящихся под управлением Российского государства или на его территории.
Внутренние источники угроз ИБ: деятельность политических и экономических структур, преступных групп и формирований против интересов граждан, общества и государства; нарушения персоналом информационных систем установленных регламентов, технологий и процедур; отказы технических средств связи и обработки информации; сбои программного обеспечения.
Международная безопасность (глобальность) такое состояние международных отношений, при котором исключено нарушение всеобщего мира, гарантировано устойчивое и стабильное развитие мирового сообщества в экономической, социально-политической и духовной областях, созданы условия для предотвращения конфронтации, военных конфликтов и войн между государствами.
Политическая безопасность состоит в обеспечении возможности нации и создаваемых ею государственных институтов самостоятельно решать вопросы государственного устройства, независимо проводить внутреннюю и внешнюю политику в интересах личности и общества.
Военная безопасность состояние межгосударственных отношений и обороноспособности государства, при котором до минимума сведена вероятность войны и отсутствует необходимость расширенного развития программ вооружения. В. б. содержит внешний и внутренний аспекты. Внешний отражает способность нации противодействовать или сдерживать воздействие военной силы извне (наличие современных вооруженных сил, системы коллективной и всеобщей безопасности, вхождение в состав военно-политических союзов и др.).Внутренний связан с милитаризацией экономики и других сфер общественной жизни, усилением политической роли армии внутри страны. О военной безопасности правомерно говорить при наличии реальных военных угроз национальным интересам. Понятие оборонная безопасность отражает сферу деятельности государства и общества по подготовке к отражению возможных военных угроз. В. б. достигается широким комплексом мер, осуществляемых в политической, экономической, военной, информационной и других сферах деятельности государства.
Экономическая безопасность - состояние экономики, при котором обеспечивается достаточно высокий и устойчивый экономический рост; эффективное удовлетворение экономических потребностей; контроль государства за движением и использованием национальных ресурсов; защита экономических интересов страны на национальном и международном уровнях. Составная часть национальной безопасности, ее фундамент и материальная основа. Объектом экономической безопасности выступает как экономическая система, взятая в целом, так и ее составляющие элементы: природные богатства, производственные и непроизводственные фонды, недвижимость, финансовые ресурсы, людские ресурсы, хозяйственные структуры, семья, личность. Угрозы экономической безопасности - явления и процессы, оказывающие негативное воздействие на хозяйство страны, ущемляющие экономические интересы личности, общества и государства.
Социальная безопасность защищенность членов общества от каких-либо форм физического и нравственного насилия, политического и идеологического диктата, социальной и национальной дискриминации, угрозы социально-политическим интересам субъектов, их политической, социальной и национальной независимости, ограничения социально-политических связей и коммуникаций
Информационная безопасность защищенность жизненно важных интересов личности, общества и государства от преднамеренных или непреднамеренных воздействий в той или иной форме (информационная блокада, информационная интервенция, информационная война, дезинформация и др.). Суть ИБ обеспечение сохранности информационных ресурсов государства и защищенность законных прав личности и общества в сфере информации.
Экологическая безопасность предотвращение существующей угрозы значительного ухудшения экологических параметров среды обитания людей и биосферы в целом, состоянию атмосферы, гидросферы, литосферы и ближней космосферы, видовому составу животного и растительного мира, а также опасности истощения невозобновляемых природных ресурсов в результате различных видов деятельности человека. Согласно Конституции Российской Федерации каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.
Э. б. не может быть обеспечена усилиями отдельных стран. Она служит интересам всего человечества и является всеобщей, мировой, поэтому ее значимость выше национальной безопасности.
Интеллектуальная безопасность защищенность интеллектуальных и культурных ценностей, интеллектуальной собственности и культурного наследия.
Генетическая безопасность предотвращение преднамеренных и непреднамеренных вредных воздействий на генетическое здоровье людей, наследственные признаки биологических структур в животном и растительном мире в результате нарушения генетической информации.
Общественная безопасность неотъемлемая часть национальной безопасности, охватывающая те общественные отношения, которые связаны с предотвращением или устранением угрозы для жизни и здоровья людей и их имущества. Она органически связана с личной безопасностью граждан и общественным порядком. О. б. призваны обеспечивать органы внутренних дел, милиция, внутренние войска, поисково-спасательные службы ликвидации чрезвычайных ситуаций, органы местного самоуправления, общественные организации и движения.
Национальные интересы Российской Федерации в информационной сфере и их обеспечение.
Информационная сфера, являясь важным фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ сильно зависит от обеспечения ИБ, и эта зависимость будет возрастать.
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Выделяются четыре основные составляющие национальных интересов РФ в информационной сфере.
1) соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
2) информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности достоверной информации о государственной политике РФ, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
3) развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Источники угроз информационной безопасности Российской Федерации
(Доктрина)
Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние .
К внешним источникам относятся:
- деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная про тив интересов РФ в информационной сфере;
- стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
- обострение международной конкуренции за обладание информаци онными технологиями и ресурсами;
- деятельность международных террористических организаций; увеличение технологического отрыва ведущих держав мира и нара щивание их возможностей по противодействию созданию конкурен тоспособных российских информационных технологий;
- деятельность космических, воздушных, морских и наземных техни ческих и иных средств (видов) разведки иностранных государств;
- разработка рядом государств концепций информационных войн, пре дусматривающих создание средств опасного воздействия на инфор мационные сферы других стран мира, нарушение нормального функ ционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкциониро ванного доступа к ним.
К внутренним источникам относятся [13]:
- критическое состояние отечественных отраслей промышленности;
- неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных струк тур в информационной сфере, получения криминальными структу рами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
- недостаточная координация деятельности федеральных органов го сударственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;
- недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
- неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
- недостаточное финансирование мероприятий по обеспечению ин формационной безопасности РФ;
- недостаточная экономическая мощь государства;
- снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
- недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
- отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
5. Общая характеристика методов и средств защиты информации.
Согласно федеральному закону об Информации, информационных технологиях и защите информации в целях обеспечения защиты информации применяется комплекс правовых, организационных и технических мер.
К правовым методам (мерам) защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым, неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
В качестве правовых методов (мер) защиты следует рассматривать:
Установление категорий информации ограниченного доступа;
Ограничение прав на доступ к защищаемым категориям информации;
Ограничение прав на распространение и использование защищаемых категорий информации;
Лицензирование деятельности связанной с защищаемой информацией;
Сертификация услуг и средств защиты информации;
Установление правовой ответственности за разглашения различных видов тайны, персональных данных, и компьютерные преступления, за нарушение авторских прав на программы для ЭВМ и БД;
В качестве правовых средств защиты при реализации этих методов следует выделить:
Оформление допусков к защищаемой информации.
Оформление договоров и обязательств о нераспространении тайны.
Прекращение лицензий и сертификатов на деятельность и средства защиты.
Уголовная, административная, гражданская ответственность;
Достоинство: универсальность.
Недостаток: процесс реализации занимает много времени.
К морально-этическим мерам относятся традиционно сложившиеся нормы поведения. Несоблюдение этих норм ведет к падению авторитета, престижа человека, группы лиц или организации.
Организационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Они включают:
- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
- мероприятия, осуществляемые при подборе и подготовке персонала;
- организацию охраны и пропускного режима;
- организацию учета, хранения, использования и уничтожения носителей информации;
- распределение прав доступа к информации и системам;
- организацию контроля за работой пользователей;
Достоинства:
- широкий круг решаемых задач;
-гибкость реагирования на несанкционированные действия;
практически неограниченные возможности изменения и развития.
Недостатки:
высокая зависимость от общей организации работ в организации;
низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, - если только их можно нарушить);
неудобства, связанные с большим объемом рутинной формальной деятельности по разработке документации.
Технические меры и средства защиты информации реализуются в рамках инженерно технической защиты объектов информатизации. Основными задачами этой защиты являются:
создание физических препятствий на пути злоумышленников с целью предотвращения несанкционированного доступа на объект и к информации;
предотвращение попыток получения информации злоумышленниками различными средствами технической разведки;-
оповещение служб защиты о попытках проникновения к компьютерным системам с защищаемой информацией.
Существуют три основные группы средств технической защиты информации, представленные в таблице.
Инженерныесредства |
Программно-аппаратные, аппаратные и программные средства |
Средства видеонаблюдения и сигнализации |
механические, электро-механические устройства и сооружения, предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации. |
средства, предназначенные для ограничения доступа к информации в целом и защиты информации от технических разведок, средства антивирусной защиты, и средства криптографического сокрытия информации. |
- датчики; приборы визуального наблюдения; системы сбора и обработки информации; средствасвязи.
|
Недостатком инженерно-технических методов и средств защиты является то, что они не могут защитить информацию от персонала допущенного к работе с информацией. Для решения этой задачи предназначены программно-аппаратные, аппаратные и программные средства защиты. Инженерно-технические и программно-аппаратные средства являются дорогостоящими.