Информационная безопасность

1.2.1. Понятие информационной безопасности

 

Развитие информационных технологий, создание и использование глобальных телекоммуникационных сетей, появление специализированных порталов для предоставления электронных государственных услуг с одной стороны влияет на улучшение качества жизни граждан, организацию социальных сервисов, но одновременно и создает ряд проблем и угроз нарушения прав личности и безопасности государства.

Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее её формирование и развитие в интересах граждан, организаций и государства.

Защита информации– деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Меры по обеспечению информационной безопасности должны осуществляться в различных сферах – политике, экономике, обороне, и на различных уровнях – государственном, региональном, организационном и личностном.

Согласно федеральному закону №149-ФЗ защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа;

- реализацию права на доступ к информации.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Правонарушения в сфере информации, информационных технологий и защиты информации влекут за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Информационная безопасность зависит не только компьютеров, но и от поддерживающей инфраструктуры (систем электро-, водо-, теплоснабжения, кондиционеры, средства коммуникации, обслуживающий персонал).

Объект информационной безопасности – информация, которая затрагивает государственные, служебные, коммерческие, интеллектуальные и личностные интересы, а также средства и инфраструктура её обработки и передачи.

Объект информационного воздействия – общественное и индивидуальное сознание (совокупность идей, взгляд в обществе).

Субъекты информационной безопасности – органы законодательной, исполнительной и судебной власти (уровень государства), граждане и общественные объединения (уровень личности), СМИ, предприятия и организации (уровень организаций).

 

Нормативно-правовые акты в сфере информационной безопасности

1. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 № 149-ФЗ.

2. О государственной тайне: Закон РФ от 21.07.1993 № 5485-1.

3. О безопасности: Федеральный закон от 28.12.2010 № 390-ФЗ.

4. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ.

5. Об электронной подписи: Федеральный закон от 06.04.2011 № 63-ФЗ.

6. О коммерческой тайне: Федеральный закон от 29.07.2004 № 98-ФЗ.

7. О средствах массовой информации: Закон РФ от 27.12.1991 № 2124-1.

8. О рекламе: Федеральный закон от 13.03.2006 № 38-ФЗ.

9. О связи: Федеральный закон от 07.07.2003 № 126-ФЗ.

10. О лицензировании отдельных видов деятельности: Федеральный закон от 04.05.2011 № 99-ФЗ.

11. О техническом регулировании: Федеральный закон от 27.12.2002 № 184-ФЗ.

12. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента РФ от 05.12.2016 № 646.

13. О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена: Указ Президента РФ от 17 марта 2008 № 351.

14. О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмен: Указ Президента РФ от 12.05.2004 г.

 

1.2.2. Информационные опасности и угрозы информационной безопасности

 

Для создания системы ИБ необходимо выявить источники опасности, угрозы.

Существует четыре действия, которые могут содержать в себе угрозу: сбор, модификация (искажение), утечка и уничтожение информации.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

- по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

- по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

- по расположению источника угроз (внутри/вне рассматриваемой ИС);

- в зависимости от способа воздействия на объекты информационной безопасности (информационные, программные, физические, радиоэлектронные и организационно-правовые угрозы).

 

1.2.3. Мероприятия по обеспечению информационной безопасности

 

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;

2. административный – комплекс мер, предпринимаемых локально руководством организации;

3. процедурный уровень – меры безопасности, реализуемые людьми;

4. программно-технический уровень – непосредственно средства защиты информации.

В соответствии со статьей 16 п.1 федерального закона 149 защита информации представляет собой принятие правовых, организационных и технических мер. При такой трактовке защита информации включает и физические меры.

 

Законодательные (правовые) меры – это меры по разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного обеспечения, так и программного обеспечения компьютеров и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с Уголовным кодексом РФ (Раздел IX. Преступления против общественной безопасности и общественного порядка. Глава 28. Преступления в сфере компьютерной информации, статьи 272, 273, 274).

 Законодательный уровень является важнейшим для обеспечения информационной безопасности (регламентация законом и нормативными актами действий с информацией и оборудованием, наступление ответственности за нарушение правильности таких действий).

Большинство людей не совершают противоправные действия не потому, что это технически невозможно, а потому, что это осуждается и (или) наказывается обществом, потому, что так поступать не принято.

 

Административный (организационный) уровень информационной безопасности – это действия общего характера, предпринимаемые руководством организации.

Главная идея мер административного уровня – сформировать программу работ в области ИБ и обеспечить её выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основа программы – политика безопасности, которая отражает подход организации к защите своих информационных активов.

Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности – совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и информационных ресурсов. Политика безопасности определяет структуру системы защиты и реализуется через административно-организационные меры и физические и программно-технические средства. После того, как сформулирована политика безопасности, можно приступать к составлению программы её реализации.

Политика безопасности

- что нужно защищать в первую очередь?

- какие угрозы наиболее опасны?

- как организуется защита информации?

- кто имеет право доступа к информации (чтение, изменение)?

- кто отвечает за информационную безопасность?

- что запрещено и как наказывают за эти нарушения?

 

Организационные (административные) меры

- разработка политики безопасности для информационных систем (определение профилей, паролей, атрибутов, прав доступа),

- разработка средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности),

- распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности),

- обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников,

- контроль за соблюдением установленной политики безопасности,

- разработка мер безопасности на случай природных, техногенных катастроф и террористических актов (отвечают руководители, начальники службы безопасности, системные администраторы),

 

Процедурный (физический) уровень информационной безопасности – меры безопасности, ориентированные на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает особого внимания.

Осознавая степень зависимости от компьютерной обработки данных в современном обществе следует сделать акцент на вопросах доступности и целостности данных.

Классы мер на процедурном уровне: управление персоналом, физическая защита, поддержание работоспособности, реагирование на нарушение режима безопасности, планирование восстановительных работ.

1) Управление персонала начинается с приема нового сотрудника на работу и даже раньше – с составления описания должности. Уже на данном этапе желательно подключить к работе специалиста по ИБ для определения компьютерных привилегий для должности.

2) Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры (сети), вычислительной техники, носителей данных. Основной принцип: непрерывность защиты во времени и пространстве.

3) Поддержание работоспособности: поддержка пользователей, поддержка программного обеспечения, конфигурационное управление, резервное копирование, управление носителями, документирование, регламентные работы.

4) Реагирование на нарушение режима безопасности. Программа безопасности, принятая организацией, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима безопасности.

5) Планирование восстановительных работ. Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью.

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционировать хотя бы в минимальном объеме.

 

Программно-технические  (технические, технологические, программно-аппаратные) меры направленны на контроль оборудования, программ, данных (использование специальных программ и аппаратуры с функцией защиты информации).

 

Сервис обеспечения безопасности:

- идентификация и аутентификация пользователей,

- управление (разграничение) доступом, к ресурсам,

- протоколирование и аудит (регистрация событий),

- шифрование (криптографическая защита),

- контроль целостности систем,

- экранирование (создание физических препятствий на путях проникновения нарушителей),

- анализ защищенности,

- проверка отсутствия вредоносных программ,

- создание резервных копий ценной информации,

- мониторинг и сигнализация соблюдения правильности работы системы,

- защита системы от наличия и появления нежелательной информации,

- виртуальные частные сети,

- средства контентной фильтрации.

 

Контрольные вопросы:

1. Сформулируйте понятия информации и данных. Перечислите информационные процессы.

2. Какие можно выделить свойства у информации?

3. Приведите примеры общедоступной информации и информации ограниченного доступа.

4. Какими особенностями характеризуется информационное общество?

5. Перечислите основные нормативно-правовые акты в сфере информатизации.

6. Укажите основные направления государственной политики РФ в сфере информатизации.

7. Что понимают под термином «информационная безопасность»? Есть ли отличие от понятия «защита информации»?

8. Что является источником опасностей и угроз информации? Классифицируйте информационные опасности и угрозы.

9. Какие уровни защиты информации выделяют?

10. Что понимают под комплексным подходом защиты информации?

11. Какие группы мероприятий по защите информации (ЗИ) выделяют?

12. Что понимают под законодательными мерами ЗИ?

13. Перечислите акты, затрагивающие вопросы информационной безопасности.

14. Что понимают под административным уровнем ЗИ? Какие мероприятия сюда входят? Что понимается под политикой безопасности предприятия?

15. Раскройте содержание процедурного уровня ЗИ, перечислите его мероприятия. Раскройте их суть.

16.  Из каких мероприятий состоят программно-технический уровень ЗИ?

 

Литература по теме: [1-20, 23-33,35-38].

Тема 2. Государственные информационные системы. Электронное правительство