Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация уменьшает степень неопределенности, неполноту знаний о лицах, предметах, событиях и т.д.

Защита информации - это процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности .

В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации.

Конфиденциальная информация - это субъективно - определяемая характеристика или свойство информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Конфиденциальная информация, которая может представлять интерес для конкурентов должна быть защищена . Сокрытие информации мотивируется не только перед страхом утечки конфиденциальных данных, но и попытки внести изменения в базы данных или рабочую документацию, что может привести не только к убыткам, но и остановить работу предприятия.

Для нормального и безопасного функционирования систем необходимо поддерживать их безопасность и целостность.

На сегодняшний день сформулировано три базовых принципа информационной безопасности , которая должна обеспечивать:

целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

конфиденциальность информации;

Компьютеры, часто объеденные в сеть, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Широкое развитие компьютерных сетей, интеграция их с информационными системами общего пользования помимо преимуществ порождает новые угрозы безопасности информации.

Причины возникновения новых угроз характеризуются :

сложностью и разновидностью, используемого программного и аппаратного обеспечения сетей;

большим числом узлов сети, участвующих в электронном обмене информацией, их территориальной распределенностью и отсутствием возможности контроля всех настроек;

доступностью информации систем внешним пользователям (клиентам, партнерам и пр.) из-за ее расположения на физически соединенных носителях.

Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным.

Электронные средства хранения даже более уязвимы, чем бумажные: размещенные на них можно и уничтожить, и скопировать, и незаметно видоизменить.

Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов, ущерб от компьютерных преступлений увеличивается на 35 процентов в год . Одной из причин является сумма денег, полученная в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов. По данным Миннесотского университета США, 93 процента компаний, лишившихся доступа к своим данным на срок более 10 дней покинули свой бизнес, причем половина из них заявила о своей несостоятельности немедленно.

Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно увеличивается. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Чем больше людей получают доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.

Компьютерным преступником может быть любой. И молодой хакер и служащий. Компьютерные преступления, совершенные служащими, составляют 70 - 80 процентов ежегодного ущерба, связанного с компьютерами.

Признаки компьютерных преступлений :

Кражи частей компьютеров;

Кражи программ;

Физическое разрушение оборудования;

Уничтожение данных или программ.

Это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено, или что не выполняются меры защиты. Они также свидетельствуют о наличии уязвимых мест, и указывают, где находится брешь в защите.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре . Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Действия, которые наносят ущерб информационной безопасности организации можно разделить на несколько категорий .

• 1. Действия, осуществляемые авторизованными пользователями
• 1.1. Целенаправленная кража уничтожение данных на рабочей станции или сервере;
• 1.2. Повреждение данных пользователем в результате неосторожных действий.
• 2. «Электронные» методы воздействия, осуществляемые хакерами
• 2.1. Несанкционированное проникновение в компьютерные сети
• 2.2. DOS - атаки

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожение данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое - то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес - процессах компании - жертвы, потерю клиентов, ущерб репутации и т.п.

3. Компьютерные вирусы - это разновидность вредоносных программ, отличительной особенностью которых является способность к размножению, повреждению или полностью уничтожению данных .

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, Интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрата данных, краже конфиденциальной информации и даже прямым хищением финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

4. Спам (англ. spam) - сообщения, массово рассылаемые людям, не давшим согласие на их получение (относится к электронным письмам) .

Электронная почта в последнее время стала главным каналом распространения вредоносных программ;

Спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;

Как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);

Вместе со спамом нередко удаляется корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям, опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.

«Естественные» угрозы

На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс - мажорные обстоятельства и т.д.

Процесс информатизации общества наряду с положительными последствиями имеет и ряд отрицательных сторон. Ежегодно возрастает количество преступлений, в которых объектом преступных посягательств является информация, а также тех, где информация в свою очередь служит средством совершения преступлений.

Введение

§1.2 Защита информации - приоритетная задача обеспечения национальной безопасности России

Глава 2. Законодательная база, регулирующая отношения в сфере информационной безопасности

§2.1 Нормативно-правовые основы защиты информации в Российской Федерации

§3. Информационное законодательство - основной источник информационного права

§4. Правовые проблемы информационной безопасности

Заключение

Список нормативных актов и литературы

Введение

Актуальность. Конец ХХ и начало ХХI в. характеризуются новым этапом научно-технической революции - внедрением во все сферы жизни инфокоммуникационных технологий - необходимой базы для перехода к информационному обществу, оказывающих огромное влияние на все аспекты нашей жизни. Как отмечается в Декларации принципов построения информационного общества (Декларации тысячелетия) , такие технологии открывают совершенно новые перспективы достижения более высоких уровней развития.

В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Это отмечается и в Стратегии развития информационного общества в России, одобренной на заседании Совета Безопасности Российской Федерации 25 июля 2007 г. (далее - Стратегия).

Стратегия является политическим документом и направлена на реализацию положений Окинавской Хартии глобального информационного общества и итоговых документов Всемирной встречи на высшем уровне по вопросам информационного общества (Женева, 2003 г., Тунис, 2005 г). В ней определены цели и принципы развития информационного общества в России, роль государства в данном процессе, предусмотрены основные мероприятия по достижению целей развития информационного общества в России.

Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.

Одним из необходимых условий развития информационного общества является развитие системы нормативного правового регулирования отношений в области создания и использования информационно-телекоммуникационных технологий. В то же время будет справедливым признать, что именно общественные отношения в информационной сфере, пронизывающей сегодня практически все области жизнедеятельности человека, общества и государства, являются импульсом, влияющим на развитие информационного законодательства. Это послужило толчком к тому, чтобы выбрать тему курсовой работы, которая звучит как: правовые основы обеспечения информационной безопасности.

Объектом курсовой работы являются общественные отношения, возникающие вокруг правового регулирования сферы информационной безопасности.

Предметом же исследования будет являться нормативная правовая база, регламентирующая отношения, определенные объектом исследования.

Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, может быть, увидеть пробелы в законодательстве и предложить пути их решения.

Исходя из целей, ставлю перед собой задачи:

Разобраться с понятием информационная безопасность

Рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности

Отразить степень соответствия существующих норм реально имеющимся отношениям.

Сформулировать свои предложения по совершенствованию законодательства.

Структура курсовой работы. Курсовая работы традиционно состоит из следующих основных элементов: введение; две главы, содержащие ряд параграфов; заключение; список нормативных актов и литературы.

Положения, выносимые на защиту:

информационная безопасность проявляется через максимальную защищенность социально значимых институтов: экономики, бытовых условий, экологии, надлежащее обеспечение обороны государства.

информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

Глава 1. Защита информации в Российской Федерации

§1.1 Понятие и роль информации на современном этапе развития российского общества

Основным объектом правоотношений в информационной сфере является информация. "Информация - это информация, а не энергия и не материя", - сказал Ноберт Винер - отец кибернетики. В его определении информация выступает как философская категория наравне с материей и энергией.

Понятно, что такое философское определение информации для права неприемлемо, как и неприемлемо, например, регулирование отношении по поводу энергии вообще или материи вообще. Информация как объект правоотношений должна быть конкретизирована, организована должным образом, "привязана" к ситуации и конкретному виду отношений, классифицирована по видам и тому подобным образом "подготовлена" для осуществления по ее поводу действий, регулируемых нормами права.

В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:

информация - это:

1) сведения об окружающем мире и протекающих в нем процессах;

2) сообщения, осведомляющие о положении дел, о состоянии чего-либо.

До середины 20-х гг. XX в. под информацией (в переводе с латыни - ознакомление, разъяснение, изложение) действительно понимались "сообщения и сведения", передаваемые людьми устным, письменным или другим способом. С середины XX в. информация определяется как общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация), одно из основных понятий кибернетики.

В связи с развитием средств связи и телекоммуникаций, вычислительной техники и их использованием для обработки и передачи информации возникла необходимость измерять количественные характеристики информации. Появились разные теории, и понятие "информация" начало наполняться разным содержанием.

В 1949 г.К. Шеннон и У. Уивер опубликовали статью "Математическая теория связи", в которой были предложены вероятностные методы для определения количества передаваемой информации. Однако такие методы описывают лишь знаковую структуру информации и не затрагивают заложенного в ней смысла (в сообщении, сведениях).

В 1948 г.Н. Винер предложил "информационное видение" кибернетики как науки об управлении в живых организмах и технических системах. Под информацией стали понимать не просто сведения, а только сведения новые и полезные для принятия решения, обеспечивающего достижение цели управления. Остальные сведения не считались информацией.

Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, полезность и ценность этих сведений для потребителя. В этой связи существенным становится субъективный подход, основанный и на априорной подготовленности субъекта к восприятию таких сведений или сообщений и с их новизной для субъекта и с их полезностью (или ценностью) для принятия им решений, направленных на достижение поставленных целей.

Термин "информация" и связанные с ним термины сегодня широко применяются и законодателем.

Федеральный закон "Об информации, информатизации и защите информации" определяет информацию как "сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления" (ст.2). Учитывая социальный аспект рассматриваемого предмета, добавим: в виде, понятном для восприятия человеком. Такое определение дает возможность "вывести" из понятия "информация" программы для электронных вычислительных машин (ЭВМ), отнесенные названным Законом к средствам обеспечения ЭВМ.

По роли в правовой системе информация разделяется на правовую и неправовую.

Нормативная правовая информация создается в порядке правотворческой деятельности и содержится в нормативных правовых актах. Классификация такой информации по уровню принятия актов или по видам актов приведена на рис.2.

Ненормативная правовая информация создается, как правило, в порядке правоприменительной и правоохранительной деятельности.

С помощью такой информации реализуются предписания правовых норм. Эта информация создается в объекте управления и движется в контуре обратной связи системы правового управления. К ненормативной правовой информации относятся:

1) общая информация о состоянии законности и правопорядка:

заявления, поступающие в прокуратуру. Конституционный Суд РФ, Верховный Суд РФ, Высший Арбитражный Суд РФ о соблюдении законности;

судебная, уголовная и прокурорская статистика;

информация о соблюдении прав и свобод человека (в том числе и по представлению Уполномоченного по правам человека);

социологические исследования об эффективности законодательных и иных нормативных правовых актов;

2) информация о гражданско-правовых отношениях, договорных и иных обязательствах (договоры, соглашения и т.п. документы);

3) информация, представляющая административную деятельность органов исполнительной власти и местного самоуправления по исполнению нормативных предписаний;

УДК 323.2
ББК 66.2 (2Рос)

Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации. Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Законодатель Российской Федерации не дает понятия информационной безопасности, явление представляется на уровне «Доктрины информационной безопасности Российской Федерации».

Ключевые слова: защита данных , информационная безопасность , информация , объекты , угрозы .

Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Сегодняшние условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение. Отсутствие действенных механизмов регулирования информационных отношений в обществе и государстве приводит ко многим негативным последствиям.

Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации, глобальная информатизация охватывает все сферы государства - экономическую, военную, политическую, промышленную и т.п. Кроме всего, вычислительная техника становится неотъемлемой частью жизнедеятельности человека. Информационная безопасность, как и любой иной объект, имеет угрозы, посягающие как на целостность физическую, так и ее производных.

Исторически информация всегда имела огромное значение в быту людей и всегда ей отводилось особое место в нем, много внимания уделялось развитию средств и методов ее защиты. Анализ процесса развития этих средств и методов защиты информации позволяет разделить его на три относительно самостоятельных периода. В основе такого деления лежит эволюция видов носителей информации.

Первый период определяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, т.е. с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема обеспечения сохранения в тайне существующей уже отдельно от источника конфиденциальной информации. Поэтому практически одновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие .

По утверждению ряда специалистов, криптография по возрасту - ровесник египетских пирамид. В документах древних цивилизаций - Индии, Египта, Месопотамии - есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных тестов из Месопотамии (ХХ в. до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен.

Второй период (примерно с середины ХIX века) характеризуется появлением технических средств обработки информации и возможностью сохранения и передачи сообщений с помощью таких носителей, как электрические сигналы и электромагнитные поля (например телефон, телеграф, радио). Возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Появились способы шифрования сообщений в реальном масштабе времени (в процессе передачи по телефонным и телеграфным каналам связи) и т.д. Кроме того, это период активного развития технических средств разведки, многократно увеличивающих возможности ведения промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации.

Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период ). Поэтому история наиболее интенсивного развития проблемы защиты информации связана с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х годах на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано все возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере.

В ежегодном докладе ФБР было сказано, что за 1997 год от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд. долларов .

Выводы западных экспертов показывают, что утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы.

Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через электронную почту Интернет в мае 2000 года вирус «I love you» вывел из строя свыше пяти миллионов компьютеров и нанес ущерб свыше 10 млрд. долларов .

В таком случае возникает вопрос безопасности, способный предотвратить, пресечь подобные негативные, приносящие вред, явления.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз .

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Из вышеперечисленных примеров становится ясно, что жизненно важными интересами выступают сведения с определенной ценностью для субъекта, их использовавшего, а также иные объекты информационной системы (в нашем примере это была телекоммуникационная система). В связи с этим в иностранных государствах роль защиты информации возросла, что связано с развитием технологий передачи сведений (данных) с помощью электронно-вычислительных машин в телекоммуникационных системах как общего пользования, так и специального назначения, и становлением «информационного» общества.

В нашей стране давно и небезуспешно стали также заниматься проблемами защиты информации. И не зря советская криптографическая школа до сих пор считается лучшей в мире. Однако чрезмерная закрытость всех работ по защите информации, сконцентрированных главным образом в отдельных силовых ведомствах, в силу отсутствия регулярной системы подготовки профессионалов в этой области и возможности широкого обмена опытом привела к некоторому отставанию в отдельных направлениях информационной безопасности, особенно в обеспечении безопасности компьютерной.

В данное время есть все основания утверждать, что в России сложилась отечественная школа защиты информации. Ее отличительной особенностью является то, что в ней наряду с решением сугубо прикладных проблем защиты большое внимание уделяется формированию развитого научно-методо-логического базиса, создающего объективные предпосылки для решения всей совокупности соответствующих задач на регулярной основе.

Естественно, что за истекшее после возникновения проблемы защиты информации время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме в зависимости от подходов к ее решению довольно четко делится на три этапа.

Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранении тайны) является чрезмерно узким. Более того, само понятие «тайна» до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях повсеместное распространение получают понятия промышленная, коммерческая, банковская, личная и другие тайны. В действующих законодательных актах Российской Федерации (РФ) встречаются понятия более чем 40 видов тайн. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено.

Но в данной работе, изучая информационную безопасность, необходимо уделить особое внимание рассмотрению понятия государственной тайны, так как уровень важности тайны всегда определяется по степени ущерба не только по отношению к одному индивиду, но и к социальной группе, обществу и государству соответственно. Исходя из этого, на первое место выходит государственная тайна.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации .

Определенную системность в решение вопросов места государственной тайны в жизни общества и государства внес принятый в 1993 году Закон Российской Федерации «О государственной тайне». Продолжая традицию отнесения определенных категорий сведений к тайне, Закон делает принципиальный шаг вперед, устанавливая целый блок социально значимых сведений, которые не могут быть засекречены (ст. 7). Законом выработан конкретный правовой механизм, согласно которому должностные лица, принявшие решение о засекречивании указанных сведений, несут различные виды юридической ответственности, а граждане вправе обжаловать такие решения в суд.

Второй принципиальной новацией данного Закона является введение норм, регулирующих взаимоотношения государства и собственника информации при отнесении сведений к государственной тайне. За уполномоченными должностными лицами сохра-няется императивное право засекречивать информацию, владель-цами которой являются учреждения, организации или граждане. В то же время владелец информации обладает правом возмещения материального ущерба, наступающего в связи с засекречиванием информации, размер которого определяется договором, а также правом обжаловать действия органа государственной власти в суде.

Конечно, Закон «О государственной тайне» лишь первый шаг на пути рационального и разумного подхода к регулированию отношений, связанных с государственной тайной. Приведенный пример может служить подтверждением одного непреложного факта - принцип определения категорий информации, относимых к государственной тайне, является государственным императивом, в ряде случаев зависящим от конкретной экономической либо политической обстановки, и в силу этого не могущим быть незыбле-мым. К тому же, какие бы законодательные рамки ни существовали, в механизме отнесения сведений к государственной тайне наиболее важным звеном был и остается конкретный орган исполнительной власти, так как именно по его предложениям (читай - интересам) формируются категории общегосударственного перечня. С учетом того, что само понятие государственная тайнапо-прежнему вызывает у большинства должностных лиц и граждан некий благоговейный трепет, а подавляющее большинство руково-дителей федеральных органов исполнительной власти на основа-нии статьи 9 Закона наделено полномочиями по отнесению сведе-ний к государственной тайне, система «сдержек и противовесов», заложенная в провозглашенном Конституцией принципе разделе-ния властей, пока работает в регулировании данной сферы отно-шений крайне слабо.

Кроме того, анализ безопасности и информации в отдельности от информационной безопасности показывает, что конкретное понятие определено законодательством, но в основанных на доктрине информационной безопасности законах самого ее определения как таковой нету.

В последнее время проблема защиты информации рассматривается как проблема информационной безопасности - неотъемлемой составной части национальной безопасности Российской Федерации. Это ясно определяется Концепцией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17 декабря 1997 года № 1300 (последняя редакция - январь 2000 года) и Доктриной информационной безопасности РФ, принятой в сентябре 2000 года. Здесь система национальных интересов России определяется совокупностью основных интересов личности, общества и государства.

Прежде чем рассмотреть, что такое информационная безопасность и роль ее в государстве, его управлении, необходимо определиться в таком явлении, предмете жизнедеятельности, как информация.

В данной работе содержание информации будет рассмариваться с учетом задач и проблем информатизации, как организационного социально-эконо-мического и научно-технического процесса создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов и возникающих при этом общественных и, прежде всего, правовых отношений. С позиций такого подхода, а также рассмотренных понятий информация будет носить двойственный характер.

Во-первых, она является информационным ресурсом общества, обладающим определенными свойствами и необходимым для информационного обеспечения общественной деятельности и повседневной жизни людей.

Во-вторых, информация - это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информационного продукта, обладающего заданным свойством (качеством). При этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем).

Существует множество определений понятия «информация»: от наиболее общего, философского (информация есть отражение материального мира) до наиболее узкого, практического (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования) .

До середины 20-х годов ХХ века под информацией действительно понимались «сообщения и сведения», передаваемые людьми устным, письменным или иным способом. С середины ХХ века информация превращается в общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация) . Это одно из основных понятий кибернетики.

В связи с развитием средств связи и телекоммуникаций, вычислительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее количественные характеристики. К. Шенноном и У. Уивером были предложены вероятностные методы для определения количества передаваемой информации. Появилось понятие «энтропия информации» как мера ее неопределенности. .

Н. Винер предложил «информационное видение» кибернетики считать наукой об управлении в живых организмах и технических системах . Под информацией стали понимать уже не просто сведения, а только те из них, которые являются новыми и полезными для принятия решения, обеспечивающего достижение цели управления.

Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, их полезность и ценность для потребителя.

Для раскрытия определения содержания понятия информации рассмотрим его дополняющее компоненты принятые в действующих нормативных правовых актах .

Документированная информация (документы) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством.

Массовая информация - предназначенные для неограниченного кругалиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).

Информационные продукты (продукция) - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей.

Компьютерная информация - информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети.

С точки зрения процесса защиты информации нам важно представлять это понятие в более материалистической плоскости, позволяющей направлять действия по обеспечению безопасности на конкретный объект. Поэтому остановимся на следующем определении: информация - сведения (сообщения, данные) независимо от формы их представления. .

Независимо от сфер деятельности личности, общества и государства, обеспечение безопасности информации тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. В силу этого источник является неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности. Под источником информации понимается объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно для поставленных целей определенным ее приемником. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассивной стороной, а получатель - субъект активной. С учетом рассмотренных выше понятий конфиденциальной информации под источником конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников.

К объектам информационной безопасности Российской Федерации относятся:

Информационные ресурсы, независимо от форм хранения, содержащие информацию, составляющую государственную тайну и ограниченного доступа, а также открытую (общедоступную) информацию и знания;

Система формирования, распространения и использования информационных ресурсов, включающая информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;

Информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;

Система формирования общественного сознания (мировоззрение, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;

Права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.

Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.

К настоящему времени известно большое количество разноплановых угроз информации (в системах ее обработки она понимается под возможностью возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию) различного происхождения, таящих в себе различную опасность для нее. Для системного представления их удобно классифицировать по виду, возможным источникам, предпосылкам появления и характеру проявления.

Определив понятие “угроза информации”, рассмотрим его относительно непосредственного воздействия на информацию, обрабатываемую на каком-либо объекте (кабинете, предприятии, фирме). Анализируя возможные пути воздействия на информацию, представляемую как совокупность n информационных элементов, связанных между собой логическими связями, можно выделить основные нарушения, которые будут являться видами угроз информационной безопасности:

Физической целостности (уничтожение, разрушение элементов);

Логической целостности (разрушение логических связей);

Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации);

Прав собственности на информацию (несанкционированное копирование, использование).

В законе РФ «О безопасности» дано определение угрозы безопасности как совокупности условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства. В связи с этим и вышеизложенным под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .Тогда с позиции обеспечения информационной безопасности можно определить, что под информационной угрозой понимается воздействие дестабилизирующих факторов на состояние информированности, как извне, так и внутри государства, подвергающее опасности жизненно важные интересы личности, общества и государства.

Из определения мы видим, что существуют внешние и внутренние источники угрозы информационной безопасности.

К внешним источникам относятся: недружественная политика иностранного государства в области глобального информационного мониторинга, распространение информации и новых информационных технологий; деятельность иностранных разведывательных и специальных служб; деятельность иностранных политических и экономических структур, направленная против интересов России; преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.

Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; нарушения установленных регламентом сбора, обработки и передачи информации; преднамеренные действия и непреднамеренные ошибки персонала информационных систем; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах. В результате воздействия угроз информационной безопасности может быть нанесен серьезный ущерб жизненно важным интересам Российской Федерации в политической, экономической, оборонной и других сферах деятельности государства, причинен социально-экономический ущерб обществу и отдельным гражданам.

Следствием такого воздействия могут быть: создание препятствий на пути равноправного сотрудничества России с развитыми странами и дружественными государствами; затруднения принятия важнейших политических, экономических и других решений; подрыв государственного авторитета Российской Федерации на международной арене; создание атмосферы напряженности и политической нестабильности в обществе; нарушение баланса интересов личности, общества и государства; дискредитация органов государственной власти и управления; провоцирование социальных, национальных и религиозных конфликтов; инициирование забастовок и массовых беспорядков; нарушение функционирования системы государственного управления, а также систем управления войсками, вооружением и военной техникой, объектами повышенной опасности.

Также следствием воздействия угроз могут явиться снижение темпов научно-технического развития страны, утрата культурного наследия, проявления бездуховности и безнравственности. Весьма существенный экономический ущерб в различных областях общественной жизни и в сфере бизнеса может быть причинен в результате нарушений законодательства в информационной сфере и компьютерных преступлений.

Угрозы информационной безопасности могут нанести физический, материальный и моральный ущерб гражданам, вызвать неадекватное социальное или криминальное поведение групп людей или отдельных лиц, оказать влияние на процессы образования и формирования личности.

Способы воздействия угроз на объекты информационной безопасности в Российской Федерации подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.

К информационным способам относятся: нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации.

Программно-математические способы включают: внедрение программ-вирусов; установку программных и аппаратных закладных устройств; уничтожение или модификацию данных в информационных системах.

Физические способы включают: уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение программных или аппаратных ключей и средств криптографической защиты информации; воздействие на персонал; поставка «зараженных» компонентов информационных систем.

Радиоэлектронными способами являются: перехват информации в технических каналах ее утечки; внедрение электронных устройств перехвата информации в технических каналах и помещениях; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают: закупку несовершенных или устаревших информационных технологий и средств информатизации; невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

В целях предотвращения, парирования и нейтрализации угроз информационной безопасности применяются базовые методы. К ним относятся правовые, программно-технические и организационно-экономические методы.

Правовые методы предусматривают разработку комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, руководящих и нормативно-методических документов по обеспечению информационной безопасности.

Программно-технические методы включают предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней; предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных программных или аппаратных закладных устройств; исключение перехвата информации техническими средствами; применение криптографических средств защиты информации при передаче по каналам связи.

Организационно-экономические методы предусматривают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации; сертификацию этих систем по требованиям информационной безопасности; лицензирование деятельности в сфере информационной безопасности; стандартизации способов и средств защиты информации; контроль за действием персонала в защищенных информационных системах.

Важное место среди этих методов занимают мотивация, экономическое стимулирование и психологическая поддержка деятельности персонала, занятого обеспечением информационной безопасности.

Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние ее информационной безопасности. При этом возникают новые факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в этой области. Их можно разделить на политические, экономические и организационно-технические.

К политическим факторам относятся:

Изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;

Информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;

Становление новой российской государственности на основе принципов демократии, законности и информационной открытости;

Разрушение ранее существовавшей командно-административной государственной системы управления, а также сложившейся системы обеспечения безопасности страны;

Нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;

Стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;

Низкая общая правовая и информационная культура в российском обществе.

Среди экономических факторов наиболее существенными являются:

Переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;

Критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации;

Расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России.

Из организационно-технических факторов определяющими являются:

Недостаточная нормативно-правовая база в сфере информационных отношений, в том числе в области обеспечения информационной безопасности;

Слабое регулирование государством процессов функционирования развития рынка средств информатизации, информационных продуктов и услуг в России;

Широкое использование в сфере государственного управления и кредитно-финансовой сфере не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;

Рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;

Обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.

Таким образом, под информационной безопасностью Российской Федерации понимается состояние защищенности информации, информационных ресурсов и информационной инфраструктуры, обеспечивающей жизненно важные интересы личности, общества и государства, а также способность государства обеспечивать информацией, необходимой для противодействия планам и намерениям иностранных государств, организаций и лиц причинить вред интересам безопасности государства.

Из вышеизложенного следует, что информационная безопасность определяется способностью государства, общества, личности:

Обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

Противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

Вырабатывать личностные и групповые навыки и умения безопасного поведения;

Поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать .

На законодательном уровне понятия информационной безопасности не дается, но определения безопасности (состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ) и информации (информация - сведения (сообщения, данные) независимо от формы их представления ) в разных правовых актах даются.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .

Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.

В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.

Литература

1. Шиверский А.А. Защита информации: проблемы теории и практики. - М.: Юрист, 1996. - 112 с.
2. Петраков А.В., Лагутин В.С. Утечка и защита информации в телефонных каналах. - М.: Энергоатомиздат, 1998. - 112 с
3. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - И.: Горячая линия- Телеком, 2000. С. 26.
4. Закон РФ от 05.03.1992 № 2446-1 «О безопасности» // Российская газета, № 103, 06.05.1992.
5. Ст. 2 закона РФ от 21.07.1993 № 54851 «О государственной тайне» // Собрание законодательства РФ, 13.10.1997, № 41, С. 8220-8235.
6. Семкин С.Н., Фисун А.П. Правовые основы защиты информации. - Орел: ВИПС, 2003. - 131 с.
7. Расторгуев С.П. Инфицирование как способ защиты жизни. - М.: Яхтсмен, 1996. - 143 с.
8. Шеннон К.Е. Математическая теория связи. Работы по теории информации и кибернетике. - М.: Норма 2001, с. 53.
9. Винер Н. «Творец и робот». - М.: Прогресс, 1998. - 202 с.
10. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
11. П. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
12. «Доктрина информационной безопасности Российской Федерации» утвержденная Президентом РФ 09.09.2000 № Пр-1895 // Российская газета, № 187, 28.09.2000.

Bibliography

1. Shiverskiy A.A. Information protection: problems of theory and practice. - M.: Yurist, 1996. - 112 p.
2. Petrakov A.V., Lagutin V.S. Data leakage and protection in telephone channels. - M.: Energoatomizdat, 1998. - 112 p.
3. Zegzhda D.P., Ivashko A.M. “Basics of information systems security”. - I.: Goryatchaya liniya - Telekom, 2000, p. 26.
4. Law of the RF dated 05.03.1992 № 2446-1 “About the security” // Rossiyskaya gazeta, № 103, 06.05.1992.
5. Article 2, Law of the RF dated 21.07.1993 № 54851 “About the National Security Information” // Collected Legislation of the RF, 13.10.1997, № 41, p. 8220-8235
6. Semkin S.N., Fisun A.P. and others “Legal basics of information protection”. - Oryol: VIPS, 2003. - 131 p.
7. Rastorguyev S.P. “Infection as a method of life protection”. - M.: Yahtsmen, 1996. - 143 p.
8. Shennon K.E. “Mathematical theory of connection. Works on theory of information and cybernetics”: Norma 2001, p. 53.
9. Viner N. “Creator and robot”. - M.: Progress, 1998 - 202 p.
10. Federal law dated 27.07.2006 № 149-Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
11. Item 1, article 2 of the federal law dated 27.07.2006 № 149- Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
12. Doctrine of information security of the Russian federation” affirmed by the President of the RF 09.09.2000 № Orde-1895 // published by Rossiyskaya gazeta, № 187, 28.09.2000.

Problem of information security in the Russian federation

Information security is a compound of general security and has rapid development both in the whole world and the Russian Federation. The idea about the protection of information as a warning of its illegal acquiring which has prevailed until recently is too narrow. Analysis of the present state of information security in Russia shows that the level of information security at present time doesn’t correspond to the vital requirements of a person, society and state. A legislator of the Russian Federation doesn’t introduce the notion of state security. The event is introduced on the level of “Doctrine of information security of the Russian Federation”.

Key words:

Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества.

С понятием "информационная безопасность" в различных контекстах связаны различные определения. Так, в Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Подобное же определение дается и в Доктрине информационной безопасности Российской Федерации, где указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Оба эти определения рассматривают информационная безопасность в национальных масштабах и поэтому имеют очень широкое понятие.

Наряду с этим характерно, что применительно к различным сферам деятельности так или иначе связанным с информацией понятие "информационная безопасность" принимает более конкретные очертания. Так, например, в "Концепции информационной безопасности сетей связи общего пользования Российской Федерации" даны два определения этого понятия.

· Информационная безопасность – это свойство сетей связи общего пользования противостоять возможности реализации нарушителем угрозы информационной безопасности.

· Информационная безопасность – свойство сетей связи общего пользования сохранять неизменными характеристики информационной безопасности в условиях возможных воздействий нарушителя.

Необходимо иметь в виду, что при рассмотрении проблемы информационной безопасности нарушитель необязательно является злоумышленником. Нарушителем информационной безопасности может быть сотрудник, нарушивший режим информационной безопасности или внешняя среда, например, высокая температура, может привести к сбоям в работе технических средств хранения информации и т. д.

1.2 Определение понятия "информационная безопасность"

Сформулируем следующее определение "информационной безопасности".

Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Рассматривая информацию как товар можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и, как следствие, владелец технологии, а может быть и автор, потеряют часть рынка и т. д.

С другой стороны, рассматривая информацию как субъект управления (технология производства, расписание движения транспорта и т. д.), можно утверждать, что изменение ее может привести к катастрофическим последствиям в объекте управления – производстве, транспорте и др.

Именно поэтому при определении понятия "информационная безопасность" на первое место ставится защита информации от различных воздействий.

Поэтому под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.

Согласно ГОСТу 350922-96 защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защиту информации (ЗИ) можно проще определить как: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации .

Решение проблемы информационной безопасности, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Это обусловлено тем, что для разных категорий субъектов характер решаемых задач может существенно различаться. Например, задачи решаемые администратором локальной сети по обеспечению информационной безопасности, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере, не связанном сетью.

Исходя из этого, отметим следующие важные выводы:

· задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться;

· информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации – это принципиально более широкое понятие.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами. В области информационной безопасности важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие, как минимум, адекватно реагировать на угрозы информационной безопасности или предвидеть новые угрозы и уметь им противостоять.

В рамках изучаемого курса основное внимание будет уделяться изучению вопросов, связанных с обеспечением режима информационной безопасности применительно к вычислительным системам, в которых информация хранится, обрабатывается и передается с помощью компьютеров.

Согласно определению, компьютерная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электроснабжения, жизнеобеспечения, вентиляции, средства коммуникаций, а также обслуживающий персонал.

1.3. Понятие «Защита информации»

Защита информации является одним из важнейших факторов государственной деятельности и предпринимательства, связана с предотвращением несанкционированного доступа посторонних лиц либо программ к защищаемой информации и программам.

Защита информации - совокупность методов и средств, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, конфиденциальности, достоверности и доступности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).

Несанкционированным доступом к информации ПК будем называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа.

Основные цели защиты информации:

1. Обеспечение физической целостности . Физическая целостность зависит от целостности самого ПК, целостности дисков и дискет, целостности информации на дисках и дискетах, в полях оперативной памяти.

Угрозы целостности информации в ПК, как и в любой другой автоматизированной системе, могут быть случайными и преднамеренными. Основными разновидностями случайных угроз являются отказы, сбои, ошибки, стихийные бедствия.

С учетом современного состояния технических и программных средств ПК, а также способов и средств их использования к наиболее реальным угрозам целостности информации случайного характера следует отнести ошибки пользователей.

Гораздо большую опасность целостности информации в ПК представляют преднамеренные угрозы, создаваемые людьми в злоумышленных целях.

2. Предупреждение несанкционированного получения информации, находящейся в ПК. Данная цель защиты приобретает особую актуальность в тех случаях, когда хранимая или обрабатываемая информация содержит тайну того или иного характера (государственную, коммерческую и т.д.)

3. Предупреждение несанкционированной модификации информации. Опасной разновидностью несанкционированной модификации информации в ПК является действие вредоносных программ (компьютерных вирусов), которые могут разрушать или уничтожать программы или массивы данных.

4. Предупреждение несанкционированного копирования информации. Защита от копирования заключается в предупреждении возможностей несанкционированного снятия копии с информации, находящейся в ОЗУ ЭВМ или на гибком или жестком магнитном носителе, в целях злоумышленного ее использования.

Выводы по теме

· Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества. Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

· Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

· Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации – это принципиально более широкое понятие.

· Задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться.

· Под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.

· Защита информации (ГОСТ 350922-96) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Практическая работа № 1

«Анализ рисков информационной безопасности»

1. Цель работы

Ознакомиться с алгоритмами оценки риска информационной безопасности.

Риск ИБ – потенциальная возможность использования определенной угрозойуязвимостейактива или группы активов для причинения вреда организации.

Уязвимость - слабость в системе защиты, делающая возможной реализацию угрозы.

Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации.

Информационный актив – это материальный или нематериальный объект, который:

Является информацией или содержит информацию,

Служит для обработки, хранения или передачи информации,

Имеет ценность для организации.

Задание

1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь 3 «Методы менеджмента безопасности информационных технологий»

2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.

3. Выберите три различных информационных актива организации (см. вариант).

4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.

5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.

7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.

1. Титульный лист

3. Задание

4. Обоснование выбора информационных активов организации

5. Оценка ценности информационных активов

6. Уязвимости системы защиты информации

7. Угрозы ИБ

8. Оценка рисков

Варианты

Вариант – номер по списку в журнале.

Номер варианта	Организация	Метод оценки риска (см. Приложение Е ГОСТа)
	Отделение коммерческого банка
	Поликлиника
	Колледж
	Офис страховой компании
	Рекрутинговое агентство
	Интернет-магазин
	Центр оказания государственных услуг
	Отделение полиции
	Аудиторская компания
	Дизайнерская фирма
	Офис интернет-провайдера
	Офис адвоката
	Компания по разработке ПО для сторонних организаций
	Агентство недвижимости
	Туристическое агентство
	Офис благотворительного фонда
	Издательство
	Консалтинговая фирма
	Рекламное агентство
	Отделение налоговой службы
	Офис нотариуса
	Бюро перевода (документов)
	Научно проектное предприятие
	Брачное агентство
	Редакция газеты
	Гостиница
	Праздничное агентство
	Городской архив
	Диспетчерская служба такси
	Железнодорожная касса

Практическая работа № 2.

«Построение концепции информационной безопасности предприятия»

1. Цель работы

Знакомство с основными принципами построения концепции ИБ предприятия, с учетом особенностей его информационной инфраструктуры.

1. Краткие теоретические сведения

До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности. Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК , какими средствами и способами они должны быть реализованы.

Концепция информационной безопасности используется для:

· принятия обоснованных управленческих решений по разработке мер защиты информации;

· выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;

· координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;

· и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.

Задание

Используя предложенные образцы, разработать концепцию информационной безопасности компании (см. вариант), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):

Общие положения

Назначение Концепции по обеспечению информационной безопасности.

1.2. Цели системы информационной безопасности

1.3. Задачи системы информационной безопасности.

Проблемная ситуация в сфере информационной безопасности

2.1. Объекты информационной безопасности.

2.2. Определение вероятного нарушителя.

2.3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.

2.4. Основные виды угроз информационной безопасности Предприятия.