- •Тема № 1/1: «Введение. Сущность и понятие информационной безопасности»
- •1. Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •3. Важность и сложность проблемы информационной безопасности
- •Тема № 1/2 Роль и место информационной безопасности в системе национальной безопасности государства
- •1. Методы обеспечения информационной безопасности.
- •Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2. Государственная политика обеспечения информационной безопасности Российской Федерации
- •Тема № 1/3: “Современная доктрина информационной безопасности Российской Федерации”
- •1. Информационная безопасность Российской Федерации
- •Национальные интересы Российской Федерации в информационной сфере и их обеспечение
- •1.2. Виды угроз информационной безопасности Российской Федерации
- •1.3. Источники угроз информационной безопасности Российской Федерации
- •1.4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •2. Методы обеспечения информационной безопасности Российской Федерации
- •2.1. Общие методы обеспечения информационной безопасности Российской Федерации
- •2.2. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2.3. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
- •3. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации
- •3.1. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •4. Организационная основа системы обеспечения информационной безопасности Российской Федерации
- •4.1. Основные функции системы обеспечения информационной безопасности Российской Федерации
- •4.2. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
- •1. Основные положения теории защиты информации
- •2. Цели, задачи и требования к защите информации
- •3. Становление и развитие государственной концепции защиты информации
- •2/4 “Организационные основы и методологические принципы защиты информации”
- •1.Организационные основы защиты информации
- •2. Общеметодологические принципы формирования теории защиты информации
- •1. Понятие "носитель защищаемой информации".
- •2. Виды носителей защищаемой информации, документирование информации и информационный ресурс.
- •3. Принципы записи и съема информации с носителя.
- •Классификация тайн и их правовая регламентация
- •Классификация информации по степени ограничения доступа
- •Тема № 3/3 “Классификация защищаемой информации по собственникам и владельцам”
- •1.Формы собственности на информацию. Понятия собственника (обладателя) и владельца (конфидента) информации.
- •3.Понятие интеллектуальной собственности. Различие между правом собственности и авторским правом. Объекты (предметы) интеллектуальной собственности как составная часть защищаемой информации.
- •Тема № 4/1 «понятия и виды угроз защищаемой информации»
- •1. Понятие и структура угроз защищаемой информации
- •Классификация угроз
- •2. Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию
- •Направления, виды и особенности деятельности спецслужб иностранных государств по несанкционированному доступу к секретной информации
- •Тема № 4/2 “Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию”
- •1. Понятие “угроза безопасности информации”
- •2. Система дестабилизирующих факторов, влияющих на уязвимость информации и причины нарушения защищенности информации
- •3. Структура и содержание общей модели уязвимости информации
- •Тема № 5/1 “Каналы и методы несанкционированного доступа к конфиденциальной информации”
- •1. Способы несанкционированного доступа к конфиденциальной информации
- •2. Каналы утечки информации
- •3. Источники, причины и условия утечки информации
- •Тема № 5/2 “Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к конфиденциальной информации”
- •1. Органы добывания защищаемой информации
- •2. Способы и методы несанкционированного доступа к защищаемой информации
- •3. Способы несанкционированного доступа к защищаемой информации, обрабатываемой средствами вычислительной техники
- •Тема № 6/1 “Объекты защиты информации”
- •1. Понятие, принципы формирования и классификация объектов защиты информации
- •2. Перечень, состав и характеристики типовых структурных компонентов информационной системы, требующих защиты
- •3. Характеристики элементов защиты
- •Тема № 6/3 “Кадровое и ресурсное обеспечение защиты информации”
- •1. Значение и состав кадрового обеспечения защиты информации
- •2. Полномочия службы защиты информации
- •3. Основы деятельности группы режима
- •4. Ресурсное обеспечение защиты информации
- •Тема № 6/5 “Назначение и структура систем защиты информации”
- •1. Понятие “Система защиты информации”
- •2. Принципы создания систем защиты информации
- •Принципы реализации системы защиты.
- •3. Комплексная система защиты информации учреждения, предприятия
2/4 “Организационные основы и методологические принципы защиты информации”
Организационные основы защиты информации
Общеметодологические принципы формирования теории защиты инфорамации
1.Организационные основы защиты информации
Блок вопросов организационного и правового обеспечения является определяющим в общей проблеме информационной безопасности. По существу он представляет собой “каркас” общего “здания” проблемы и от того, насколько он прочен, зависит и вся конструкция.
Концептуальные основы данного блока определяются структурой проблемы информационной безопасности, являющейся настолько сложной, комплексной и многоаспектной задачей, что осуществить простую двумерную декомпозицию не представляется возможным.
Прежде всего, необходимо развитие работ по легальному определению основы или “корня дерева” декомпозиции, то есть предмета защиты информации, обеспечения ее безопасности или информационной безопасности. Существуют различные точки зрения по определению этих понятий и существует настоятельная потребность по их упорядочению и классификации. В области развития безопасных информационных технологий, ориентированных на использование технических средств защиты, целесообразно ограничиться нормами Закона РФ “Об информации, информатизации и защите информации”. В соответствии с ним защите подлежит документированная информация, то есть зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. Далее вводится понятие информационных ресурсов, которые и являются объектами отношений субъектов – собственников: физических, юридических лиц и государства, и защищаются законом наряду с другими ресурсами.
Тем же законом определены следующие уровни декомпозиции проблемы, определяющие правовой режим информационных ресурсов:
порядок документирования информации;
право собственности;
категорию информации по уровням доступа к ней;
порядок правовой защиты.
Остановимся подробнее на характеристике этих уровней.
Первый уровень – документирование, является по закону обязательным условием включения информации в информационный ресурсы, которые, напомним, и являются объектом правовой защиты. Изучение данного вопроса показало, что несмотря на внешнюю очевидность практических процедур, их организационно-нормативное обеспечение далеко от идеального. Так, на практике службы делопроизводства учреждений и организаций руководствуются устаревшими положениями Государственной системы документационного обеспечения управления, утвержденной Главархивом СССР в 1991 г. Не удалось определить установленный законодательством прядок подписания документа должностным лицом, в том числе и полученный из автоматизированной информационной системы. А ведь лишь после этого документ приобретает юридическую силу и может быть включен в объект правоотношений. Четкий порядок документирования сведений, содержащих государственную тайну, изложен в соответствующем законе.
Особую значимость приобретает проблема документирования информации, вращающейся в автоматизированных информационных системах. Стандарты и другие нормативы, определяющие порядок делопроизводства в АСУ, безнадежно устарели. Не решает полностью проблемы, а порою и ставит новые трудноразрешимые вопросы организационно-технического и правового характера законодательная норма о возможности подтверждения юридической силы документа электронной цифровой подписью.
Решение вопросов первого уровня во многом снимает вопросы по установлению права собственности на те или иные виды информационных ресурсов.
Тем не менее следует обратить внимание на один из вопросов второго уровня, который на нынешнем этапе не имеет удовлетворительного решения. Речь идет о том, что традиционно сфера информационной безопасности ассоциируется с защитой закрытой информации и не затрагивает отношения, регулируемые, в частности, авторским правом. С возрождением последнего в связи с принятием нового гражданского законодательства проблема информационной безопасности не только желательно, но и обязательно должна быть распространена на сферу охраны открытой интеллектуальной собственности. И, наоборот, когда проблематика охраны интеллектуальной собственности распространяется на информацию ограниченного доступа. В частности, особые трудности вызывают практические вопросы соблюдения и установления права собственности и права авторства на информацию ограниченного доступа, в том числе содержащую государственные секреты либо созданную в порядке выполнения служебного задания. Существующие законодательные нормы на этот счет пока достаточно противоречивы и трудноприменимы на практике.
Третий уровень структуры проблемы – определение категории информации по уровню доступа к ней, не вызывает особых методологических трудностей, за исключением того, что законодательное разграничение относится только к государственным информационным ресурсам. Но, очевидно, что по умолчанию оно может быть распространено без особых замечаний и на ресурсы иных форм собственности.
На этом уровне возникают в основном вопросы методического характера, связанные с созданием соответствующих перечней сведений, составляющих государственную, коммерческую, банковскую, служебную и иные виды тайн, а также перечней персональных данных.
Вышеперечисленные уровни являются основой для четвертого по порядку, но не по значению уровня, определяющего порядок правовой защиты информации. Исследование вопросов данного уровня по существу представляет собой перманентный процесс развития блока организационно-правового обеспечения путем накопления теоретико-фундаментальных знаний и практического опыты. С введением Законов РФ “Об информации, информатизации и защите информации”, "О коммерческой тайне", Гражданского Кодекса РФ завершен первый этап создания рамочного законодательства в данной области. Следующий этап будет связан с введением законов о персональных данных и установлением норм, определяющих так называемые компьютерные правонарушения и меры ответственности за них вплоть до уголовной. В целом же законодательная база в рассматриваемой области, несмотря на ее несовершенство, позволяет переход к этапу практической реализации организационно-нормативных мероприятий по обеспечению безопасности информации.
Ограничим далее свое рассмотрение сферами формирования и использования ресурсов ограниченного доступа, создания и использования технических средств защиты и предоставления соответствующих услуг, исключив из анализа вопросы формирования и развития механизмов судебной защиты. В этом случае наиболее актуальной является задача создания и развития системы государственного контроля за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств, за обеспечением необходимых организационных мер защиты автоматизированных информационных систем. По существу речь идет о создании действенной и эффективной системы лицензирования. Пока надо признать, что, несмотря на явный прогресс в этом направлении, общее положение пока далеко от удовлетворительного. Требуется более четкое и исчерпывающе разграничение прав и обязанностей различных органов государственной власти с учетом резкого увеличения прав субъектов РФ, создание действенных организационных механизмов и структур лицензирования, разработка соответствующей нормативно-распорядительной базы. Необходима также проработка вопросов по созданию, функционированию и развитию специальных служб информационной безопасности организации как основного, так и нижнего звена всей организационной структуры. Актуальной задачей является исследование вопросов определения функций и задач таких подразделений, их прав и обязанностей, а также механизмов их взаимодействия со службами физической защиты объектов, патентными и юридическими службами, в том числе и по вопросам соблюдения норм авторского права.
Аналогичные задачи возникают при анализе вопросов развития системы сертификации технических средств защиты информации. Дополнительно к вопросам организационного характера в этом случае необходимо также решение задач по метрологии и стандартизации средств и комплексов технической защиты. Во многих случаях такая нормативная база отсутствуют. Существующие стандарты и нормативно-распорядительные документы ориентированы на защиту сведений, составляющих государственную тайну, содержат очень жесткие требования, во многом сдерживающие развитие рынка соответствующих средств и услуг.
Очевидным аспектом, часто выпадающим из поля зрения при анализе рассматриваемой проблемы, является финансово-экономические. Основная задача в этом случае – оценка эффективности защитных мероприятий по критерию “стоимость-эффективность”. Однако ее успешное решение сдерживается отсутствием статистически достоверных сведений о ценности (стоимости) защищаемых сведений.
Одним из возможных переходов к решению этого вопроса может быть взята из практики охраны интеллектуальной собственности, когда ее объекты рассматриваются как нематериальные активы предприятий и организаций и соответственно могут быть включены в хозяйственный (бухгалтерский) оборот. Наряду с решением задачи создания статистически достоверной базы в этом случае можно также получить дополнительный источник развития и воспроизводства защитных мероприятий за счет отчислений на амортизацию нематериальных активов.
К блоку организационно-правового обеспечения можно отнести и кадровые вопросы, среди которых определение и прогноз необходимой потребности, уточнение должностных и квалификационных характеристик и самое главное – разработка методик отбора и тестирования профессиональных качеств.
Кроме того можно отметить, что успешное развитие сферы информационной безопасности невозможно без надлежащего информационного обеспечения, без создания соответствующей инфраструктуры научно-технической информации и рекламы.