Методологические подходы к защите информации и принципы ее организации Лекция №1

есть предотвращение зла”
Платон, определения, стих 415
Рытов Михаил Юрьевич,
канд.техн. наук, доцент

информации
Сущность и основные понятия информационной безопасности
Виды угроз информационной безопасности РФ
Источники

угроз информационной безопасности РФ
Задачи обеспечения информационной безопасности в РФ

защиты информации
Хронология
процесса развития средств и методов защиты информации
(по эволюции видов

носителей информации)

П е р в ы й э т а п
(древность – XIX в)

связан с появлением возможности фиксации информационных сообщений на твердых носителях, то есть с изобретением письменности.

определяется началом создания осмысленных и самостоятельных средств и методов защиты информации таких как как шифрование и скрытие.

(примерно с середины XIX в – 40 г.г. XX в)

характеризуется появлением технических средств обработки информации и возможностью сохранения и передачи сообщений с помощью таких носителей, как электрические сигналы и электромагнитные поля (телефон, телеграф, радио)

возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.)

появились способы шифрования сообщений в реальном масштабе времени (в процессе передачи по телефонным и телеграфным каналам связи) и т. д.

это период активного развития технических средств разведки, многократно увеличивающих возможности ведения промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации.

XX в.-н.в.)
период массовой информатизации общества

связан с внедрением автоматизированных

систем обработки информации

внимание к проблеме защиты информации в пер­вую очередь было вызвано все возрастающими финансовыми потерями фирм и государственных организаций от преступле­ний в компьютерной сфере

выводы западных экспертов показывают, что утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы

все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через электронную Интернет в мае 2000 г. вирус «I love you» вывел из строя свыше 5 млн. компьютеров и нанес ущерб свыше 10 млрд. долларов

Начальный этап
(60-е — начало 70-х гг.)

Этап развития
(70-е — начало 80-х гг.)

Современный этап
(с середины 80-х гг. по н.в.)

лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы

их представления.( ФЗ РФ “Об информации, информатизации и защите информации ” от 25.01.95 г.)

Информация (И) как объект защиты имеет следующие особенности и свойства:
Информация нематериальна;
Информация доступна человеку, если она содержится на материальном носителе;
Ценность информации оценивается степенью полезности ее для пользователя;
Учитывая, что информация может быть для получателя полезной или вредной, что она покупается и продается, то информацию можно рассматривать как товар;
Ценность информации изменяется во времени;
Невозможно объективно оценить количество информации;
При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию
В соответствии

со ст.1 закона РФ “О безопасности”
безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз;
жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
В настоящее время проблема защиты информации рассматривается как проблема информационной безопасности – неотъемлемой составной части национальной безопасности РФ. Это определено в Концепции национальной безопасности РФ и Доктриной информационной безопасности РФ.
Информационная безопасность РФ определяется как состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью интересов личности, общества и государства.

др. до их принятия.
Тайна следствия и судопроизводства
Персональные данные
Профессиональная
тайна
Коммерческая
тайна
Классификация информации по

режиму доступа в РФ

Запрещенная к
распространению

возможное событие, процесс или явление, которые могут привести к уничтожению,

утрате целостности или секретности информации.

защиты И
Способы НСД
И
Объект защиты
Сведения о

составе, состоянии и деятельности предприятия

Источники И
люди
документы
технические носители
технические средства
продукты
публикации
отходы

Средства защиты
физические
программно- аппаратные
инженерно-тех.
криптографические

Способы защиты
упреждение
предотвращение
пресечение
противодействие

Направления защиты
Правовое
Организационное
Программно-аппаратное

Защита И

Угрозы И

Цели угроз
ознакомление
модификация
уничтожение

Источники угроз
конкуренты
преступники
коррупционеры

Угрозы
целостности
конфиден-циальности
полноте
доступности

Концептуальная модель информационной безопасности информации

потенциально возможное событие, процесс или явление, которые могут привести к

уничтожению, утрате целостности или секретности информации.
Виды угроз информационной безопасности определены в “Доктрине информационной безопасности Российской Федерации”, утвержденной Президентом РФ 09.09.00. По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды:

обеспечению государственной политики РФ
Угрозы безопасности информационных систем РФ
Угрозы
развитию отечественной

индустрии информатизации

подразделяются на внешние и внутренние.

К основным внешним источникам относятся

:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;

стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

промышленности;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур

в информационной сфере;

недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;

недостаточная экономическая мощь государства;

снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

мероприятиям можно отнести формирование базы правового обеспечения информационной безопасности нашей

страны. Приняты Закон Российской Федерации “О государственной тайне”, Закон Российской Федерации “О коммерческой тайне”, Федеральные законы “Об информации, информатизации и защите информации” и ряд других законов.

Успешному решению вопросов обеспечения ИБ РФ способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства.

между потребностями общества в расширении свободного обмена информацией и необходимостью

сохранения отдельных регламентированных ограничений на ее распространение.

Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере.

Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения.

Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).

информационного пространства, развития системы массовой информации, организации международного информационного обмена

и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.

Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Отставание отечественных информационных технологий объясняет зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

требует безотлагательного решения важнейших задач, основными из которых являются:

разработка основных

направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;

развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации;

обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность;

технологий, и прежде всего используемых в системах управления войсками и

оружием, экологически опасными и экономически важными производствами;

развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;

обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;

создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

информационной безопасности РФ

Правовые

Организационно-технические

Экономические

отношения в информационной сфере, и нормативных методических документов по вопросам

обеспечения информационной безопасности Российской Федерации.

Наиболее важными направлениями этой деятельности являются:

внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности;
законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации;
создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

совершенствование системы обеспечения информационной безопасности Российской Федерации;
усиление правоприменительной деятельности федеральных

органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, в том числе предупреждение и пресечение правонарушений в информационной сфере;
разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;
выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

информационной безопасности Российской Федерации и определение порядка их финансирования;

совершенствование системы

финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении

задач обеспечения информационной безопасности Российской Федерации;

развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;

осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

являются:

Президент Российской Федерации,
Совет Федерации Федерального Собрания Российской Федерации,

Государственная дума Федерального Собрания Российской Федерации,
Правительство Российской Федерации,
Совет Безопасности Российской Федерации,
Федеральные органы исполнительной власти,
Межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации,
Органы исполнительной власти субъектов Российской Федерации,
Органы местного самоуправления,
Органы судебной власти,
Общественные объединенияb граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации