Понятие национальной безопасности и роль информационной безопасности
-
Закон о безопасности РФ от 28.12.2010 390ФЗ.
-
Стратегия национальной безопасности до 2020 года (указ президента РФ от 12.05.2009 537).
-
Доктрина информационной безопасности (указ президента РФ от 9.09.2000 1895).
-
Конституция РФ.
Безопасность (национальная) - это состояние защищённости личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права и свободы, достойный качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие РФ, оборону и безопасность государства.
Права и свободы человека и гражданина в информационной сфере:
-
Конституция рф;
-
Базовые ФЗ, регулирующие отношения в сфере информационной безопасности;
-
ФЗ, регулирующие отношения в конкретных сферах обеспечения информационной безопасности;
-
Указы Президента РФ;
-
Постановления Правительства РФ;
-
Приказы конкретных министерств и ведомств;
-
Нормативные документы регионов РФ;
-
Нормативные документы органов местного самоуправления;
-
Нормативные документы отдельных организаций.
Статья 23: граждане РФ имеют право на тайну,
Статья 24 часть 2: органы госвласти и местного самоуправления обязаны обеспечить возможность ознакомления с материалами, затрагивающими права и свободы гражданина, Статья 29 часть 4: гражданин имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, Статья 29 часть 5: конституция запрещает цензуру в СМИ, Статья 44 часть 5: право на охрану интеллектуальной собственности, Статья 55 часть 3.
Принцип обеспечения безопасности:
-
Соблюдение и защита прав и свобод человека и гражданина;
-
Законность 1. всё должно быть регламентировано; 2. все должно работать; 3. в случае нарушения должно последовать наказание;
-
Системность и комплексность (Критерии угрозы: опасность и реальность\Критерии объекта: важность и уязвимость)
-
Приоритет предварительных мер
-
Принцип взаимодействия и координации
Виды угроз информационной безопасности РФ: По своей общей направленности угрозы информационной безопасности РФ делятся на следующие виды:
-
Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности (принятие нормативно-правовых актов, ущемляющих конституционные права и свободы; создание монополий на работу с информацией; противодействие реализации конституционных прав на личную тайну; противоправное применения специальных средств воздействия на общественное сознание; вытеснение российских информационных агентств с рынка и усиление влияния зарубежных информационных структур; девальвация духовных ценностей; снижение духовного, нравственного и творческого потенциала населения России).
-
Угрозы информационному обеспечению государственной политики РФ (блокирование деятельности государственных СМИ по информированию российской и зарубежной аудитории; монополизация информационного рынка России отечественными и зарубежными информационными структурами).
-
Угроза развитию отечественной индустрии информации, обеспечению потребностей внутреннего рынка в ее продукции (усиление технологической зависимости России в сфере информационных технологий; закупка органами государственной власти импортных средств информатизации при наличии отечественных аналогов; увеличение оттока за рубеж специалист и правообладателей интеллектуальной собственности).
-
Угроза безопасности информационных систем, как развернутых, так и создаваемых на территории РФ (противоправный сбор и использование информации; нарушение технологии обработки информации; внедрение в аппаратные и программные изделия подозрительных компонентов; разработка и распространение программного обеспечения, нарушающее защиту информации; компрометация ключей и средств криптографической защиты информации; утечка информации по техническим каналам; внедрение электронных устройств для перехвата информации; уничтожение, повреждение и хищение машинных и других видов информации; использование несертифицированных информационных технологий).
Информация - сведения, независимо от формы их представления.
Документированная информация — это информация, зафиксированная на материальном носителе, с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Электронный документ — это документированная информация, предоставленная в электронной форме с использованием ЭФМ в виде, пригодном для восприятия человеком, для передачи по информационным сетям или обработки в информационных системах.
Информационная система - совокупность содержащихся в базе данных информации, обеспечивающих ее обработку, информационных технологий и технических средств.
Конфиденциальность информации - обязательная для выполнения лицом, получившего доступ к информации, требование не передавать эту информацию третьем лицам.
Обладатель информации - лицо, самостоятельно создавшее информацию, либо получившее на основании закона или договора права разрешать или ограничивать доступ к информации. Обладатель информации имеет право защищать информацию установленными законом способами.
Общедоступная информация - информация, доступ к которой не ограничен, может использоваться любыми лицами по их усмотрению. Ограничение доступа к информации устанавливается федеральными законами.
Защита информации - принятие правовых, организационных и технических мер, направленных на:
1) защиту информации и предотвращение несанкционированного доступа, уничтожение, модифицирование, блокирование и распространение информации;
2) соблюдение конфиденциальности информации;
3) реализацию права на доступ к информации;
Правообладатель - обладатель информации, оператор информационной системы, в случаях, установленных законодательством, обязаны обеспечить:
1) предотвращение несанкционированного доступа и передачи информации лицам, не имеющим права на доступ;
2) своевременное обнаружение факта несанкционированного доступа;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа;
4) недопущение воздействия на технические средства обработки информации, нарушающего их функционирование;
5) возможность незамедлительного восстановления информации (модифицированной или уничтоженной);
6) постоянный контроль за обеспечением безопасности;
Общие методы обеспечения информационной безопасности:
1) Правовые: внесение изменений и дополнений в законодательство рф (разработка нормативно правовых актов, регламентирующих отношения в информационной сфере и сфере информационной безопасности; уточнение статуса иностранных информационных сми).
2) Организационно-технические: создание и совершенствование систем обеспечения информационной безопасности РФ, разработка, использование и совершенствование средств защиты информации, создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, сертификация средств защиты информации, лицензирование деятельности в области защиты информации, контроль за действиями персонала в защищённых информационных системах, подготовка кадров в области информационной безопасности.
3) Экономические: разработка программного обеспечения информационной безопасности РФ и определения порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно технических методов защиты информации.
Силы обеспечения информационной безопасности:
1) Президент РФ определяет приоритетные направления государственной политики в области информационной безопасности, утверждает руководящие документы;
2) Федеральное собрание разрабатывает и принимает законодательную базу в области обеспечения информационной безопасности;
3) Правительство РФ в пределах своих полномочий и с учётом сформулированных в ежегодных посланиях президента реализует приоритетные направления по обеспечению информационной безопасности;
4) Совет безопасности РФ проводит работу по выявлению и оценке информационных угроз информационной безопасности РФ;
5) Федеральные органы исполнительной власти;
6) ФСБ России;
7) ФСО России;
8) Минобороны России;
9) МВД России;
10) Минком связи;
11) Роскомнадзор осуществляет функции по контролю и надзору за соответствием обработки персональных данных с требованием законодательства РФ;
12) ФСТЭК;
13) Органы судебной власти;
14) Межведомственные и государственные комиссии;
15) Органы власти субъектов РФ;
16) Органы местного самоуправления.
Угрозы информационной безопасности проявляются в нарушении:
1) конфиденциальности (разглашение, утечка, несанкционированный доступ);
2) достоверности (фальсификация, подделка, мошенничество);
3) целостности (искажение, ошибки, потери);
4) доступности.
Классификация угроз безопасности:
1) по вероятности реализации (потенциальные и реальные);
2) по размерам наносимого ущерба (общие - наносят вред объекту в целом, локальные - затрагивают отдельные элементы, частные - наносят вред свойствам элементов);
3) по природе происхождения (случайные - не связанные с действиями персонала, преднамеренные - обусловленные действиями злоумышленников);
4) по предпосылкам возникновения (объективные - вызванные недостатком информационной безопасности системы, субъективные - обусловленные действиями персонала);
5) по видам объекта безопасности (угрозы собственной информации, угроза персоналу, допущенному к информации, угрозы деятельности по обеспечению информационной безопасности).
Методы организационной защиты информации:
1) Скрытие - засекречивание информации, т. е. отнесение ее к конфиденциальной, для ограничения доступа к ней;
2) Ранжирование - деление информации по степени важности и регламентация допуска граждан к этой информации;
3) Дезинформация - распространение заведомо ложных сведений относительно истинного назначения каких-то объектов;
4) Дробление - деление информации на части с таким условием, что знание какой-то одной части информации не позволяет узнать всю технологию в целом;
5) Морально-нравственные методы - воспитание сотрудника, допущенного к информации и формирование у него системы качеств (патриотизма, понимания важности защиты информации);
6) Учёт - обеспечивает возможность получения в любое время данных о любом носителе информации и его местонахождение;
7) Шифрование - преобразование с помощью шифра открытого текста в условный при передаче по каналам связи.