Иноформационная безопасность


ВВЕДЕНИЕ

 

Информационная безопасность как важнейшая составляющая общей  безопасности во многом определяет общую  и экономическую безопасность на всех уровнях. Безопасность государства  в расширенном определении означает устойчивое геополитическое положение  страны, безопасность жизнедеятельности государственных и общественных институтов, предприятий, организаций, сферы услуг и населения.

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в  процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.

Данная курсовая работа позволит дать четкое понятие информационной безопасности и определить ее место в системе национальной безопасности; подходы к организации  защиты информации от несанкционированного доступа; государственное и правовое регулирование информационной безопасности в Российской Федерации. Курсовая работа подробно рассматривает виды угроз информационным системам и информационным ресурсам и способы защиты информационной безопасности.

 

 

 

1. ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  РФ.

1.1. Место информационной безопасности и в системе национальной безопасности

 

Прежде, чем определить само понятие информационной безопасности, рассмотрим более общее понятие  безопасности и соответственно то место, которое информационная безопасность занимает в системе национальной безопасности.

Общее понятие "безопасность", широко употребляемое в русском  языке, характеризует собой "положение, при котором не угрожает опасность  кому-нибудь и чему-нибудь" [22]. В. Даль указывал, что безопасность есть отсутствие опасности, сохранность, надежность [7]. По С. Ожегову безопасность - это "состояние, при котором не угрожает опасность, есть защита от опасности" [21].

Однако "защита", "защищенность" - это только одна сторона значения слова безопасность. С другой стороны, безопасность означает отсутствие угрозы со стороны объекта, явления или процесса, о безопасности которого идет речь, его безвредность.

В связи с этим, когда  мы говорим о безопасности чего-либо или кого-либо, необходимо рассматривать два плана: внутренний - состояние защищенности от внешних угроз и внешний - безвредность для окружающих.

Понятия безопасности законодатель привел в ст. 1 Закона о безопасности [10], где безопасность определяется как "состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз".

В Концепции национальной безопасности РФ существенно дополнены  и конкретизированы положения, ранее  закрепленные в Законе о безопасности.

В Концепции введено  понятие национальных интересов как совокупности сбалансированных интересов личности, общества и государства. При этом ограничен перечень областей, национальные интересы в которых определяют предмет национальной безопасности: в области экономики, в социальной, внутриполитической, международной, информационной сферах, в области военной (оборонной), пограничной и экологической безопасности.

Интересы личности определены в Концепции как полное обеспечение  конституционных прав и свобод, личной безопасности, повышение качества и уровня жизни, физическое, духовное и интеллектуальное развитие. Интересы общества установлены в упрочении демократии, создании правового государства, достижении и поддержании общественного согласия, духовном обновлении России. Интересы государства состоят в незыблемости

 


 


конституционного строя, суверенитета и территориальной целостности  России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии международного сотрудничества.

Таким образом, укрепление информационной безопасности названо  в Концепции национальной безопасности РФ в числе важнейших долгосрочных задач. Роль информационной безопасности и ее место в системе национальной безопасности страны определяется также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое [18].

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В научной литературе в составе "информационной сферы  общества" выделяют:

- субъекты информационной  сферы;

- общественные отношения  в информационной сфере;

- информационную инфраструктуру общества;

- информацию [9].

В соответствии с Законом  о безопасности и содержанием  Концепции национальной безопасности РФ под информационной безопасностью  будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

1.2. Концепция информационной безопасности

Российской Федерации

 

Совокупность официальных  взглядов на цели, задачи, принципы и  основные направления обеспечения  информационной безопасности Российской Федерации представлена в Доктрине информационной безопасности РФ.

На основе анализа  положений, содержащихся в доктринальных  и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфере [1].

Для личности:

- соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;

 


   - реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;

- использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;

- защита права на объекты интеллектуальной собственности;

- обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;

Для общества:

- обеспечение интересов личности в информационной сфере;

- построение правового социального государства;

- упрочение демократии, построение информационного общества;

- духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;

- достижение и поддержание общественного согласия;

- предотвращение манипулирования массовым сознанием;

- приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;

Для государства:

- создание условий для реализации интересов личности и общества в информационной сфере и их защита;

- формирование институтов общественного контроля за органами государственной власти;

- безусловное обеспечение законности и правопорядка;

- создание условий для гармоничного развития российской информационной инфраструктуры;

- формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;

- защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;

- защита единого информационного пространства страны;

развитие равноправного  и взаимовыгодного международного сотрудничества.

К основным задачам в  области обеспечения информационной безопасности относятся:

- формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан в сфере информационной деятельности;


    - разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

 - совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;

- определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;

- развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

- координация деятельности органов государственной власти по обеспечению информационной безопасности;

- совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

- проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

- обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

- развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";

- разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

 

 

- создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

- защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;

- создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

- защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

- сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

- пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

- повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - участников СНГ;

- создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

- противодействие угрозе развязывания противоборства в информационной сфере;

- создание единой системы подготовки кадров в области обеспечения информационной безопасности;

- организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства

 

 

 

 

 

 

 

           


           


1.3. Правовые основы защиты информации и закон о защите информации.

 

Правовые основы защиты информации – это законодательный  орган защиты информации, в котором  можно выделить до 4 уровней правового  обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый  уровень правовой основы защиты информации

Первый уровень правовой охраны информации и защиты состоит  из международных договоров о  защите информации и государственной  тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение  информационной безопасности РФ:

  • Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;
  • Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);
  • Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);
  • Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);
  • Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст.5 определяет категории доступа информации: общедоступная информация и информация ограниченного досутпа; ст.7 дает определение общедоступной информации и какие сведения могут к ней относиться; ст.8 определяет к какой  информации, доступ не может быть ограничен; ограничение доступа к информации определяется ст.9; ст.13 определяет типы информационных систем: государственные, муниципальные и иные информационные системы; порядок защиты информации определен ст.16)
  • Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно»


и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной  тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся  к государственной тайне);

  • Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак  с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Как видите, правовое обеспечение  информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую  информационную безопасность и правовую охрану информации и защиту, благодаря  ФЗ о защите информации.

Второй  уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень правового обеспечения системы защиты экономической информации

К данному уровню обеспечения  правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации

 


1.4. Термины и определения системы защиты информации

Статьей 2  Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» даны определения следующим понятиям об информации, информационных технологиях и информационных системах:

1) информация - сведения (сообщения, данные) независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использования;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.


Национальный  стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" 
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст) дает полный перечень основных понятий относящихся к защите информации:

Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

 

Термины, относящиеся к видам защиты информации

правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты (Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации).

Термины, относящиеся к способам защиты информации

способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами (Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.)

 


защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации (Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо)

защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

Термины, относящиеся к замыслу защиты информации

замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.


цель защиты информации: Заранее намеченный результат защиты информации (Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию).

система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Иноформационная безопасность