Информационная безопасность

Разработка и создание механизмов формирования и реализации государственной информационной политики России. Разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации; обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники. Разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами; развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны. Создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время; расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи; обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем; создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Общие методы обеспечения  информационной безопасности Российской Федерации

Общие методы обеспечения  информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения  информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации. А также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации; законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан.

Разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность  юридических и физических лиц  за несанкционированный доступ к  информации, ее противоправное копирование, искажение и противозаконное  использование, преднамеренное распространение  недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и  корыстных целях служебной информации или информации, содержащей коммерческую тайну; уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации  являются: создание и совершенствование  системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая  предупреждение и пресечение правонарушений в информационной сфере, а также  выявление, изобличение и привлечение  к ответственности лиц, совершивших  преступления и другие правонарушения в этой сфере. Разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения. Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации. Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации; формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения  информационной безопасности. Интересы общества в информационной сфере  заключаются в обеспечении интересов  личности в этой сфере, упрочении  демократии, создании правового социального  государства, достижении и поддержании  общественного согласия, в духовном обновлении России.

Приложение

Законы, регулирующие информационную безопасность:

·  "О федеральных  органах правительственной связи  и информации" от 19.02.92 № 4524-1;

·  "О безопасности" от 05.03.92 № 2446-1;

·  "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.92 № 3523-1;

·  "О правовой охране топологий интегральных микросхем" от 23.09.92 № 3526-1;

·  "О сертификации продукции  и услуг" от 10.06.93 № 5151-1;

·  "О стандартизации" от 10.06.93 № 5154-1;

·  "Об архивном фонде  Российской Федерации и архивах" от 07.07.93 № 5341-1;

·  "О государственной  тайне" от 21.07.93 № 485-1;

·  "О связи" от 16.02.95 № 15-ФЗ;

·  "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ;

·  "Об органах федеральной  службы безопасности в Российской федерации" от 03.04.95 № 40-ФЗ;

·  "Об оперативно-розыскной  деятельности" от 12.08.95 № 144-ФЗ;

·  "Об участии в международном  информационном обмене" от 04.07.96 № 85-ФЗ;

·  "Об электронной цифровой подписи" от 10.01.2002 № 1-ФЗ.

Нормативные правовые акты Президента Российской Федерации:

·  "Об основах государственной  политики в сфере информатизации" от 20.01.94 № 170;

·  "Вопросы межведомственной комиссии по защите государственной  тайны" от 20.01.96 № 71;

·  "Об утверждении перечня  сведений конфиденциального характера" от 06.03.97 № 188;

·  "О некоторых вопросах межведомственной комиссии по защите государственной тайны" от 14.06.97 № 594;

·  "О перечне сведений, отнесенных к государственной тайне" от 24.01.98 № 61;

·  "Вопросы Государственной  технической комиссии при Президенте Российской Федерации" от 19.02.99 № 212;

·  "О концепции национальной безопасности Российской Федерации" от 10.01.2000 N 24;

·  "Об утверждении перечня  должностных лиц органов государственной  власти, наделяемых полномочиями по отнесению  сведений к государственной тайне" от 17.01.2000 N 6-рп;

·  Доктрина информационной безопасности Российской Федерации  от 09.09.2000 № ПР 1895.

Нормативные правовые акты Правительства Российской Федерации:

·  "Об установлении порядка  рассекречивания и продления  сроков засекречивания архивных документов Правительства СССР" от 20.02.95 N 170;

·  "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий  и (или) оказанием услуг по защите государственной тайны" от 15.04.95 N 333;

·  "О сертификации средств  защиты информации" от 26.06.95 N 608;

·  "Об утверждении правил отнесения сведений, составляющих государственную  тайну, к различным степеням секретности" 04.09.95 N 870;

·  "О подготовке к  передаче сведений, составляющих государственную  тайну, другим государствам" от 02.08.97 N 973;

·  "О лицензировании отдельных видов деятельности" от 11.04.00 N 326.http://www.infosecurity.ru/_site/content/laws/akt15.zip

 

 

Руководящие документы Гостехкомиссии России:

·  Концепция защиты средств  вычислительной техники и автоматизированных систем от несанкционированного доступа  к информации;

·  Временное положение  по организации разработки, изготовления и эксплуатации программных и  технических средств защиты информации от несанкционированного доступа в  автоматизированных системах и средствах  вычислительной техники;

·  Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

·  Автоматизированные системы. Защита от несанкционированного доступа  к информации. Классификация автоматизированных систем и требования по защите информации;

·  Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к  информации. Показатели защищенности от несанкционированного доступа к  информации;

·  Защита информации. Специальные  защитные знаки. Классификация и  общие требования;

·  Защита от несанкционированного доступа к информации. Часть 1. Программное  обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

 

ВЫВОД

Самыми частыми и самыми опасными, с точки зрения размера  ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно  считать пустяками по сравнению  с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация  и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба располагаются кражи и  подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный  ущерб в размере 882 млн. долл. Можно  предположить, что подлинный ущерб  намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве  расследованных случаев виновниками  оказывались штатные сотрудники организаций, отлично знакомые с  режимом работы и защитными мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.

Весьма опасны так называемые "обиженные сотрудники" - действующие  и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

- повредить оборудование;

- встроить логическую  бомбу, которая со временем  разрушит программы и/или данные;

- ввести неверные данные;

- удалить данные;

- изменить данные.

"Обиженные сотрудники", даже бывшие, знакомы с порядками  в организации и способны вредить  весьма эффективно. Необходимо следить  за тем, чтобы при увольнении  сотрудника его права доступа  к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим  разнообразием. В первую очередь, следует  выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и  техногенные катастрофы. Принято  считать, что на долю огня, воды и  аналогичных "врагов", среди которых  самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и пишут  о хакерах, но исходящая от них  угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.

Много говорят и пишут  и о программных вирусах. Причем в последнее время говорят  уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время  появилось сообщение о жутком вирусе 666, который, выводя каждую секунду  на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние  в мозг и смерть (впоследствии это  сообщение не подтвердилось).