Проблемы обеспечения информационной безопасности в России и за рубежом

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ЕЕ РОЛЬ В СОВРЕМЕННОМ МИРЕ

2 МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3 ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ И ЗА РУБЕЖОМ

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

XXI век поистине стал веком информации и информационных технологий. Недаром все чаще встречается упоминание крылатой фразы – кто владеет информацией тот владеет миром. Однако само по себе получение информации нужной и сохранение ее в доступности только определенному кругу лиц является очень важным вопросом в работе не только частных предприятий, но государств в целом. Поэтому крайне острой и насущной становится проблема обеспечения безопасности информации, полученных данных, что определяет высокую степень актуальности рассматриваемой в работе темы.

Рассмотреть и охарактеризовать мировую практику решения проблем обеспечения информационной безопасности и актуализировать ее применение для Российской Федерации – вот цель представленной в работе темы, для раскрытия которой использовались стандарты по информационной безопасности, публикации из журналов, посвященных информационной безопасности, доктрина и стратегия информационной безопасности в РФ, а также Интернет-ресурсы различных фирм, специализирующихся на работе в этой сфере.

1 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ЕЕ РОЛЬ В СОВРЕМЕННОМ МИРЕ

Согласно Федеральному закону от 28.12.2010 №390-ФЗ «О безопасности» [1] государственная политика в области обеспечения безопасности является частью внутренней и внешней политики Российской Федерации и представляет собой совокупность скоординированных и объединенных единым замыслом политических, организационных, социально-экономических, военных, правовых, информационных, специальных и иных мер.

Информационной безопасностью принято называть комплекс мер (технических и организационных), направленных на обеспечение полной конфиденциальности, целостности и управляемой доступности информационных активов компании.

Роль информационной безопасности и ее место в системе национальной безопасности страны определяется прежде всего тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое.

Основными составляющими информационной безопасности являются:

• защита информации (в смысле охраны персональных данных, государственной и служебной тайны и других видов информации ограниченного распространения);

• компьютерная безопасность или безопасность данных — набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных в компьютерных сетях, меры по защите информации от неавторизованного доступа, разрушения модификации, раскрытия и задержек в доступе, при этом используется термин «критические данные», под которыми понимают данные, требующие защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных[2].

2 МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В Российской Федерации сейчас насчитывается более 22 тысяч действующих стандартов. Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет [3]. Однако базируются положения по информационной безопасности на серии международных стандартов ISO/IEC 27000, включающей стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC) [4]. Указанная серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности (СМИБ).

Обеспечение информационной безопасности – это не единовременная мера, а непрерывный процесс, который нуждается в управлении. Для этого в компании и создается СМИБ, которая становится частью общей системы управления. Как и любая система менеджмента, СМИБ требует постоянной модернизации с учетом анализа данных о её текущем состоянии и состояния внешних факторов.[5]

Для упрощения и унификации оценки функционирования компаний, в том числе по вопросам информационной безопасности, создан ряд международных стандартов качества, наиболее адекватным из которых является ISO 9001, содержащий набор требований для любой системы менеджмента. Согласно этому стандарту, создание системы управления включает 4 взаимосвязанные стадии: Plan, Do, Check, Act (модель PDCA). Функционирование СМИБ основано именно на этой модели. Более конкретные требования к организации СМИБ предъявляет специальный стандарт ISO 27001, который, по сути, является проекцией широкого стандарта ISO 9001 на область информационной безопасности.

Стадия Plan. На этом этапе формируются документы СМИБ – политика, процедуры и подходы к обеспечению информационной безопасности. Проводится инвентаризация информационных активов, оцениваются риски, выбираются средства обработки рисков.

Стадия Do. Внедрение выбранных методов обработки рисков («контролей») и средств анализа их эффективности.

Стадия Check. Оценка эффективности применяемых мер.

Стадия Act. Совершенствование СМИБ. Внедрение необходимых изменений в СМИБ, которые были подготовлены на основе анализа на этапе Check.

К конкретным преимуществам организации СМИБ можно отнести:

1. Сокращение затрат на информационную безопасность. СМИБ делает эту сферу более прозрачной и контролируемой руководством компании. Борьба с рисками информационной безопасности обходится дешевле, чем устранение возможных последствий.
2. Сокращение штата сотрудников подразделений информационной безопасности. Организованной системой проще управлять, для этого требуется меньшее количество сотрудников.
3. Квалификация сотрудников подразделений информационной безопасности – достаточно большая проблема. СМИБ предлагает подход, который позволит поддерживать систему силами специалистов не самой высокой квалификации, и, следовательно, не требующих больших затрат для компании.
4. Простота применения выстроенной системы (масштабируемость) в новых бизнес-проектах. Выстроив СМИБ в отдельной области работы компании, Вы сможете легко расширить её на другие сферы и процессы. При этом необходимые изменения обычно бывают небольшими и могут быть сделаны без особенных трудозатрат со стороны специалистов информационной безопасности.
5. Укрепление информационной безопасности названо в концепции национальной безопасности Российской Федерации в числе важнейших долгосрочных задач.

3 ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ И ЗА РУБЕЖОМ

Защита информации является специфическим и важным видом деятельности, особенно в экономической сфере. Следует отметить, что в мире средняя величина ущерба от одной банковской кражи с применением электронных средств оценивается в 9 тыс. долл. Ежегодные потери от компьютерных преступлений в США и Западной Европе достигают 140 млрд. долл. По мнению американских специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков лопнут за 2–5 часов, 50% банков – через 2–3 дня.[6]

К основным проблемам в защите информации в компьютерных сетях можно отнести: сбои в работе сети; ошибки программного обеспечения; компьютерные вирусы; неисправности в компьютерах; хищение данных; саботаж; несанкционированное внедрение в сеть.

В систему обеспечения безопасности, помимо компьютерной безопасности, входят безопасность данных; безопасное программное обеспечение; безопасность коммуникаций.[5]

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов[7].

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашения.

Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в системе и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Особое внимание стоит обратить на использование повсеместно Интернет-технологий. Без доступа к сети Интернет функционирование компаний любых размеров уже не представляется возможным. Однако бесконтрольное использование сотрудниками доступа к сети Интернет может привести к нецелевому использованию сервисов сети. Одним из методов решения представленной проблемы является пост-фактумная защита, когда администратором безопасности выделяются ресурсы нецелевого использования сети и формируются Black-листы, сайты и порталы в которых блокируются. Другой вариант – on-line-защита, которая в режиме реального времени использует средства упреждающего контроля.[8]

Рассмотрим несколько примеров обеспечения информационной безопасности зарубежными государствами.

Одним из требований к поставщикам Интернет-услуг для государственных органов и организаций, использующим в своей деятельности сведения, составляющие государственные секреты, является фильтрация трафика от вредоносного программного обеспечения. Средства защиты информации должны обладать сертификатом соответствия, выданным в Национальной системе подтверждения соответствия Республики Беларусь, или положительным экспертным заключением по результатам государственной экспертизы [9].

В США вопросы разграничения доступа персонала фирмы к конфиденциальной информации, а также проблемы формирования разрешительной системы доступа к документам, проблемы аутентификации пользователя в ПС решаются по средством интеллектуальных карточек Expocard. Пластиковая карточка имеет встроенную полупроводниковую память, которая хранит информацию о пользователе. Для использования таких карточек применяются считывающие/записывающие устройства, позволяющие не только расшифровывать и прочитывать информацию, занесенную в карточку, но и внести в нее по мере необходимости дополнительную информацию [10].

ЗАКЛЮЧЕНИЕ

Современная концепция информационной безопасности обуславливает необходимость создания специальных подразделений, которые должны обеспечивать информационную безопасность компании. На уровне государства создаются целые структуры, в которые входят службы и отделы по обеспечению сохранности информации, контролю за ее перемещением и пресечению противоправных действий, связанных с несанкционированным доступом к информации. И вся деятельность указанных компаний и структурных подразделений основывается на международных и внутригосударственных стандартах, а также общепринятой практике. Поскольку на начальных этапах становления работа названных подразделений неизбежно сталкивается с целым рядом методологических и аналитических трудностей, на международном уровне существует общепринятая практика обращения за помощью к компаниям, которые могут оказать всестороннюю (консалтинговую) помощь в этом вопросе. Данный опыт все шире используется и в России.

СПИСОК ЛИТЕРАТУРЫ

1. Федеральный закон от 28.12.2010 №390-ФЗ «О безопасности» // «Российская газета», №295, 29.12.2010.

2.       Хорев А.А. Оценка возможности перехвата побочных электромагнитных излучений видеосистемы компьютера // «Специальная техника». – 2011 – №3.

3. Сайт компании «Безопасник». [Электронный ресурс] Режим доступа – http://bezopasnik.org/article/3.htm
4. Википедия – свободная энциклопедия. [Электронный ресурс] Режим доступа – http://ru.wikipedia.org/wiki/ISO_27000
5. Стуров Дмитрий. Современное понимание информационной безопасности. [Электронный ресурс] Режим доступа – http://www.e-controls.ru/pressoffice/itsec
6. Информационная безопасность. Защита информации. [Электронный ресурс] Режим доступа – http://all-ib.ru/
7. Барабанов А. Инструментальные средства проведения испытаний систем по требованиям безопасности информации // «Защита информации. Инсайд». – 2011 – №1.
8. Колосков Сергей. Управление информационной безопасностью в мире. Журнал «Информационная безопасность» [Электронный ресурс] Режим доступа – http://www.security-practice.ru/index.php?option=com_content&view=article&id=75&Itemid=48
9. Безопасность информационных систем. [Электронный ресурс] Режим доступа – http://www.infobez.com/prrel.asp?ob_no=8850
10. Прогноз финансовых рисков. [Электронный ресурс] Режим доступа – http://bre.ru/security/19485.html

4