Международные стандарты в сфере безопасности сетей
Содержание:
1.Введение.
Информационная безопасность играет сегодня огромную роль в сфере технологий, где цифровая информация является потоком данных одновременно со всех точек земного шара. Каждую секунду появляется новая информация, которую постоянно обрабатывают и продают. Секретная, или же конфиденциальная информация, имеет большую ценность и, к сожалению, является основной целью злоумышленников.
В наше время удобнее и мобильнее хранить информацию на электронных носителях. Но такая информация уязвима из-за большого объема, многоточечности, анонимности доступа и т.п. Поэтому обеспечение защиты информации, хранимой в компьютерной среде, становится проблематично, нежели чем, сохранение тайны на традиционных (бумага, фото) носителях. Т.к. ее сохранность достигается исключительно соблюдением мер физической защиты.
Сейчас любой пользователь ПК в мире так или иначе должен быть осведомлен в вопросах борьбы с вирусами, а также личностями стоящими за их, собственно, созданием и распространением.
Причём последние зачастую осуществляют задуманное руками своих жертв. А потому «технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.
К сожалению проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.
Сейчас существуют правовые меры обеспечения информационной безопасности - это регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.
Политика государства в области информационной безопасности.
Синхронизация сетей вызвала резонанс в вопросе защиты секретной информации, при том что ранее было легко скопировать информацию в цифровом виде.
В 1967 под патронажем Национального Комитета Стандартов была учреждена Инициативная Группа исследователей по вопросам компьютерной безопасности, в которую вошли представители университетов, компаний по производству компьютеров, научно-исследовательских центров и других организаций.
В последствии появилась «радужная серия» - это ряд стандартов и требований предъявляемых к оборудованию, программному обеспечению и персоналу так называемых систем автоматической обработки данных — компьютерных сетей, принадлежавших гос. структурам США: NASA, Министерство Обороны, Национальный комитет стандартов, Министерство Труда, Отдел по охране окружающей среды, Министерство по контролю за вооружением, Национальное научное общество, Федеральная резервная система и наконец Центр Объединенного Командования ВС и тд. Так же создан Национальный Центр Компьютерной Безопасности, занимавшийся этими вопросами.
В 1981 был создан подобный центр при Министерстве Обороны, разработавший и внедривший «радужную серию» в 1985 году. Наиболее значимым для истории в силу своей общности и направленности не только на сугубо внутренние цели, но и на некую оценку качества коммерческих продуктов так или иначе обрабатывающих и хранящих конфиденциально важную информацию, стал стандарт «Критерии оценки доверенных компьютерных систем», названный Оранжевой книгой в силу цвета обложки (кстати говоря, оранжевую обложку имеет не только этот мировой стандарт — по меньшей мере спецификации на лазерный аудиодиск и на шейдерную модель OpenGL называют оранжевыми книгами). Её целью были максимальная гибкость и универсальность оценки безопасности.
Системы безопасности появились, чтобы защитить её от шпионом и от других взломов.
Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Национальными интересами Российской Федерации являются:
- Развитие информационных средств
- Достоверность передаваемой информации
- Информационное обслуживание руководства
- Защита баз данных
- Сохранность инфраструктуры
- Защита прав человека в информационной сфере
- Защита прав на частную информацию
В информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности на основе этих национальных интересов.
Государственная политика Российской Федерации в области информационной безопасности. Основные принципы:
- Юридическая ответственность за сохранность информации
- Федеральная программа ИБ
- Нормативно-правовая база
- Предоставление гражданам доступа к мировым информационным системам
- Регламентация доступа к информации
- Контроль за разработкой и использованием средств защиты информации
Государство в процессе реализации функций по обеспечению информационной безопасности Российской Федерации организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации.
Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации.
Осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации.
Способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям.
Организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области.
Любая информационная система потенциально уязвима. Внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки.
Основные проблемы:
необходимость обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
необходимость защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
Проблемы в значительной степени решаются посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность. Это показатели, характеризующие технологическую безопасность информационных систем, требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС, ресурсы, необходимые для обеспечения технологической безопасности ИС.
Далее необходимо выработать стратегию направленную на уменьшение факторов способных вызвать те или иные нежелательные последствия.
Проблема информационной безопасности заключается в том, что любую систему можно взломать.
3.1. Борьба с терроризмом.
Терроризм - совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем.
Направления противоправных, злоумышленных действий в сетевой среде с целью проведения террористических актов:
- Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем.
- Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.
Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д.
Ущерб от террористических действий на сетевой среде связан:
- с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры;
- с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности;
- с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению;
- с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса;
Подход к предотвращению и реагированию на действия в случае террористического характера отличается от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности.
Антитеррористическая информационная безопасность - совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, - оперативно реагировать на действия, способные привести:
- к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов;
- к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.
Основа антитеррористических действий с использованием сетевой среды - традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, - сложная, многоплановая задача.
Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.
3.2. Угрозы и их показатели.
Угроза безопасности информации – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные (несанкционированный доступ к информационным ресурсам, незаконное копирование данных в информационных системах, хищение информации из библиотек, архивов, банков и баз данных), программные (использование ошибок и "дыр" в ПО, компьютерные вирусы и вредоносные программы, установка "закладных" устройств), физические (уничтожение или разрушение средств обработки информации и связи, хищение носителей информации), радиоэлектронные (внедрение электронных устройств перехвата информации в технические средства и помещения) и организационно-правовые (закупки несовершенных или устаревших информационных технологий и средств информатизации, нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере).
Угрозами национальной безопасности России в информационной сфере являются (Словарь терминов Гостехкомиссии):
- стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;
- разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.
Меры противодействия угрозам:
- постановка и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;
- развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;
- минимизация числа иностранных фирм - поставщиков;
- координация действий по проверке надежности указанных фирм;
- уменьшение номенклатуры поставляемого оборудования;
Мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:
- разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
- разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
- принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
- развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
- гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.
Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.
Функциями системы обеспечения информационной безопасности Российской Федерации являются:
- разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
- создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
- определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
- оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
- координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
- предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
- развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
- проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
- организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
- защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
- обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
- осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Информационная безопасность РФ затрагивает все сферы общественной жизни.
Стандарты безопасности Гостехкомиссии. Европы и США.
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"
При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
- Управление доступом;
- Идентификация и аутентификация;
- Регистрация событий и оповещение;
- Контроль целостности;
- Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
- Простейшие фильтрующие маршрутизаторы - 5 класс;
- Пакетные фильтры сетевого уровня - 4 класс;
- Простейшие МЭ прикладного уровня - 3 класс;
- МЭ базового уровня - 2 класс;
- Продвинутые МЭ - 1 класс.
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.
Также к стандартам России в области информационной безопасности относятся:
Гост 28147-89 – блочный шифр с 256-битным ключом;
Гост Р 34.11-94 –функция хэширования;
Гост Р 34.10-94 –алгоритм цифровой подписи.
Существует много защит информационной безопасности.
Европейские стандарты безопасности
ISO 17799: Code of Practice for Information Security Management
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.
ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
- Политика безопасности;
- Организация защиты;
- Классификация ресурсов и их контроль;
- Безопасность персонала;
- Физическая безопасность;
- Администрирование компьютерных систем и вычислительных сетей;
- Управление доступом;
- Разработка и сопровождение информационных систем;
- Планирование бесперебойной работы организации;
- Контроль выполнения требований политики безопасности.
В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
Ключевыми являются следующие средства контроля:
Документ о политике информационной безопасности;
Распределение обязанностей по обеспечению информационной безопасности;
Обучение и подготовка персонала к поддержанию режима информационной безопасности;
Уведомление о случаях нарушения защиты;
Средства защиты от вирусов;
Планирование бесперебойной работы организации;
Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
Защита документации организации;
Защита данных;
Контроль соответствия политике безопасности.
Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.
Стандарты безопасности США
"Оранжевая книга "
"Department of Defense Trusted Computer System Evaluation Criteria"
OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное
название документа "Department of Defense Trusted Computer System Evaluation Criteria".
OK предназначается для следующих целей:
Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
Обеспечить базу для исследования требований к выбору защищенных систем.
Рассматривают два типа оценки:
без учета среды, в которой работает техника;
в конкретной среде (эта процедура называется аттестованием).
Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.
Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
Класс (D): Минимальная защита
Класс (C1): Защита, основанная на разграничении доступа (DAC)
Класс (С2): Защита, основанная на управляемом контроле доступом
Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ
Класс (B2): Структурированная защита
Класс (ВЗ): Домены безопасности
Класс (A1): Верифицированный проект
FIPS 140-2 "Требования безопасности для криптографических модулей"
В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).
Стандарт шифрования DES
Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.
Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.
Информационная безопасность Российской Федерации
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Выделяются три основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
- Повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
- Усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
- Обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
- обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
- Укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
- Гарантировать свободу массовой информации и запрет цензуры;
- Не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
- Обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
- укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
- Интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности. Для достижения этого требуется: развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации.
Разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации; обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники. Разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами; развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны. Создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время; расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи; обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем; создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Заключение:
Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий.
В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.
Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Литература:
Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895. 2004г. 48стр.
Словарь терминов Гостехкомиссии при президенте РФ
prikladnayainformatika/keywords
Носов В.А. Вводный курс по дисциплине “Информационная безопасность” 2004г. 50стр.
Соколов А.В. «Методы информационной защиты объектов и компьютерных сетей». 2000г. 272стр.
Б. Анин «Защита компьютерной информации». 2000г. 384стр.
Закон РФ "О государственной тайне" 2008 г. 32 стр.
Галатенко В.А. «Стандарты информационной безопасности». 2004г. 328стр.
П. Ю. Белкин, О. О. Михальский, А. С. Першаков, Д. И. Правиков, В. Г. Проскурин, Г. В. Фоменков «Защита программ и данных». 1999г.
Словарь терминов Гостехкомиссии при президенте РФ
prikladnayainformatika/keywords
jetinfo/2002/7/1/article1.7.200231.html - Нормативная база анализа защищенности
sbcinfo/articles/doc/gtc_doc/contents.htm
counter-terrorism.narod/magazine1/kotenko-8-1.htm - Вопросы ИБ и терроризма
infosecurity/_site/problems.shtml - Суть проблемы Информационной Безопасности
jetinfo/2004/11/3/article3.11.2004.html - Федеральный стандарт США FIPS 140-2
- Понятие, сущность и значение квалификации преступления
- Ведение переговоров.
- Анализ объекта промышленного дизайна
- Денежный оборот и система расчетов на предприятии
- Администрирование баз данных, его цели и задачи
- Документооборот. Основные этапы документооборота. Технология работы с входящими документами
- Как настроиться на рабочий лад. Обзор эффективных техник самомотивации
- Профилактические и антивирусные мероприятия для компьютерного рабочего места
- Вещное право
- Наследственное право
- Институт ответственности в международном гражданском процессе
- Судебный прецедент как источник международного гражданского процесса