Информационная безопасность субъекта правовых отношений

4

Размещено на http://www.allbest.ru/

РЕФЕРАТ

Тема: «Информационная безопасность субъекта правовых отношений»

Дисциплина

Нормативно-правовые вопросы защиты информации

2011 год

Содержание

Введение

1. Субъекты информационных отношений, их безопасность

2. Механизм информационно-правового регулирования

3. Угрозы информационной структуры

Выводы

Заключение

Список используемой литературы

Введение.

Национальные интересы Российской Федерации в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Обеспечение национальных интересов Российской Федерации в информационной сфере предполагает достижение следующих трех целей.

Первая цель - соблюдение конституционных прав и свобод граждан в области духовной жизни и информационной деятельности, обеспечение духовного возрождения России. Для достижения этой цели требуется:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации; усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации; обеспечить конституционные права граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды; обеспечить конституционные права граждан на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и доброго имени; укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации; обеспечить гарантии свободы массовой информации и запрета цензуры; не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды; обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Вторая цель - развитие отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для достижения этой цели требуется: развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации; развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов, а также производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем; обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи; расширять международное сотрудничество Российской Федерации в области международного информационного обмена, развития и безопасного использования глобальных информационно-телекоммуникационных систем и их информационных ресурсов. угроза информационный структура

Третья цель - обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. Для достижения этой цели в первую очередь требуется повысить безопасность информационных систем, включая сети связи, информационные системы федеральных органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также безопасность систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности; обеспечить защиту сведений, составляющих государственную тайну.

1. Субъекты информационных отношений, их безопасность

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В данной работе будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке.

В дальнейшем субъектами будем называть государство (в целом или отдельные его органы и организации), общественные или коммерческие организации (объединения) и предприятия (юридических лиц), отдельных граждан (физических лиц).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Под автоматизированной системой обработки информации (АС) будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

технических средств обработки и передачи данных (средств вычислительной техники и связи);

методов и алгоритмов обработки в виде соответствующего программного обеспечения;

информации (массивов, наборов, баз данных) на различных носителях;

персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):

источников (поставщиков) информации;

пользователей (потребителей) информации;

собственников (владельцев, распорядителей) информации;

физических и юридических лиц, о которых собирается информация;

владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

своевременного доступа (за приемлемое для них время) к необходимой им информации;

конфиденциальности (сохранения в тайне) определенной части информации;

достоверности (полноты, точности, адекватности, целостности) информации;

защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;

конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Поскольку ущерб субъектам информационных отношений может быть нанесен опосредовано, через определенную информацию и ее носители (в том числе автоматизированные системы обработки), то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации и систем ее обработки и передачи. Иными словами, в качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, ее носители и процессы ее обработки.

Однако, всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеет своих интересов, которые можно было бы ущемить и нанести тем самым ущерб). В дальнейшем, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда будем понимать под этим косвенное обеспечение безопасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

В свете сказанного, термин "безопасность информации" нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).

В свете приведенного выше подчеркнем, что конечной целью защиты АС и циркулирующей в ней информации является предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.

Наибольшую сложность при решении вопросов обеспечения безопасности конкретных информационно-управляющих систем (информационных технологий) представляет задача определения реальных требований к уровням защиты критичной для субъектов информации, циркулирующей в АС. Ориентация на интересы субъектов информационных отношений дает ключ к решению данной задачи для общего случая.

2. Механизм информационно-правового регулирования

Механизм правового регулирования определяется как взятая в единстве система правовых средств, при помощи которой обеспечивается результативное правовое воздействие на общественные отношения. В отношении содержания механизма правового регулирования существует множество точек зрения, анализ которых не входит в задачу нашего исследования. Однако их обзор показывает что большинство ученых-юристов в качестве его основных элементов выделяют нормы права и его принципы.

Правовые отношения - акты толкования норм права, издаваемые уполномоченным на то органом; акты применения норм права.

Важно отметить, что для понимания сущности механизма правового регулирования большое значение имеет категория “деятельность”. Отмеченные элементы механизма правового регулирования получают реальное воплощение, “приходят в движение” именно через деятельность (правотворческую, правоприменительную) соответствующих субъектов. В качестве обязательного субъекта этой деятельности выступает государство в лице его различных органов.

Самая общая схема взаимосвязи элементов механизма правового регулирования выглядит следующим образом. Компетентный орган (должностное лицо) устанавливает наличие в реальной действительности тех обстоятельств (юридических фактов), на которые рассчитана норма права, выносит правоприменительный акт (решение), который подтверждает наличие указанных обстоятельств и тем самым признает, что данная норма должна быть реализована. В результате у лиц, подпадающих под действие этой нормы, возникают конкретные субъективные права и обязанности или, другими словами, между лицами возникают конкретные правовые отношения. После установления правоотношений, субъекты этих отношений получают возможность совершать действия, составляющие содержание субъективных прав и обязанностей, т.е. получают возможность реализовать эти права и обязанности, и тем самым реализовать норму права. Реализация юридически значимых, т.е. влекущих правовые последствия, действий характеризует завершение действия механизма правового регулирования, при котором происходит перевод общих предписаний юридических норм, конкретизированных на стадии правоотношения в права и обязанности, в то фактическое, реальное поведение, на которое направлена воля законодателя.

Исходя их общего понимания правового регулирования можно сделать вывод, что информационно-правовое регулирование по своей сущности заключается в упорядочении общественных отношений в информационной сфере, в установлении с помощью информационно-правовых норм юридических прав и обязанностей участников этих отношений. Базируясь на государственной информационной политике, оно направлено на упорядочение и закрепление наиболее целесообразных общественных отношений в информационной сфере - охрану урегулированных правом отношений в этой сфере, порождение и развитие новых информационных отношений, соответствующих требованиям цивилизованной жизнедеятельности; вытеснение из информационной сферы общественных отношений, не отвечающих современным условиям.

Известно, что нормы права - это установленные или санкционированные государством правила, регулирующие взаимоотношения субъектов в различных сферах жизнедеятельности. Соответственно информационно-правовые нормы можно определить как нормы права, регулирующие отношения в информационной сфере, и определяющие каким должно быть (может быть) поведение субъектов в сфере производства, преобразования и потребления информации.

Урегулированные информационно-правовыми нормами общественные отношения, складывающиеся в информационной сфере, следует именовать информационно-правовыми отношениями. Являясь разновидностью правовых отношений и соответственно обладая всеми общими чертами последних, информационно-правовые отношения имеют свою специфику, обусловленную особенностями составных частей (элементов) этих отношений - субъектов, объектов и юридических фактов, по поводу которых они возникают, изменяются или прекращаются.

Активное развитие информационных отношений и процессов, увеличение законодательной базы, направленной на их регламентацию, обуславливает становление и развитие такой комплексной отрасли права, как информационное.

Следует отметить, что в работах, посвященным тем или иным аспектам информационного права, в основном сделан акцент на проблемы правовой информатизации, правого и технического обеспечения информационных процессов. При этом в недостаточной степени проанализированы основополагающие, методологические вопросы информационного права, в частности, такие вопросы, как сущность и специфика информационно-правовых норм и отношений, их классификация, субъекты информационно-правовых отношений, правовой механизм получения, передачи, хранения и использования информации, юридические режимы информации, пользования банками данных, формы и методы информационно-правового воздействия, институт авторского права и интеллектуальной собственности, информационные правонарушения и институт ответственности за их совершение и др.

Информационное право следует рассматривать как комплексную отрасль права, состоящую из различных информационно-правовых институтов, включающих нормы разных отраслей права, и направленных на регламентацию сложного и многообразного комплекса общественных отношений в информационной сфере - сфере деятельности субъектов, связанной с производством, преобразованием и потреблением информации.
Комплексный характер информационного права обусловлен тем, что информационные отношения регулируются нормами разных отраслей права. Большой объем общественных отношений в информационной сфере регламентируется административно-правовыми актами. Например, к ним следует отнести акты, определяющие статус органов государственной власти, должностных лиц и их полномочия в информационной сфере; акты, определяющие правовые режимы информации и ее защиты, составы административных правонарушений в информационной сфере и ответственность за их совершение и др.

Уголовное право устанавливает, какие информационные правонарушения являются преступлениями и виды наказания за их совершение. Институты авторского права и интеллектуальной собственности являются прерогативой гражданско-правового регулирования.

Составными частями информационного права являются информационно-правовые институты - группы, совокупности информационно-правовых норм, регулирующих однородные общественные отношения в информационной сфере. В частности, в их составе следует выделить институты: информационных ресурсов, государственной тайны, конфиденциальной информации, защиты информации, ответственности за совершение информационных правонарушений и др.

В качестве основополагающих начал, положений, идей, требований, выражающих и характеризующих сущность информационного права, выступают его принципы. Например, к ним относятся принципы законодательного закрепления прав граждан, организаций и государства в информационной сфере, защиты авторских прав, обеспечения доступности информации, не отнесенной законом к информации с ограниченным доступом и др. Вопрос о принципах информационного права нуждается в самостоятельном исследовании. Эти принципы должны быть четко сформулированы и законодательно закреплены. Они должны оказывать концептуальное влияние на всю информационно-правовую материю, на всю иерархию нормативных правовых актов информационного законодательства при их принятии и на законопроектную работу в этой области в целом. Таким образом, к числу первоочередных вопросов, требующих подробного исследования и развернутой характеристики, относятся, на наш взгляд, следующие:

· предмет информационного права и его принципы;

· источники информационного права;

· информационно-правовые нормы и информационно-правовые отношения (их сущность, структура и разновидности);

· субъекты информационного права;

· формы и методы информационного права;

· сущность и разновидности информационных правонарушений и ответственность за их совершение.

Исследование этих вопросов, систематизация знаний по ним, безусловно, будет способствовать эффективному осуществлению правотворческой и правоприменительной деятельности в информационной сфере.

3. Угрозы информационной структуры

Защита национальных интересов Российской Федерации в информационной сфере от угроз внешнего и внутреннего характера составляет основное содержание деятельности по обеспечению информационной безопасности Российской Федерации.

Угрозы конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России проявляются в виде: недостаточной разработанности нормативной базы, определяющей порядок реализации правовых норм, регулирующих отношения в информационной сфере; создания монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем; противодействия, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на охрану личной и семейной тайны, тайны переписки, телефонных переговоров и иных сообщений; нерационального, чрезмерного закрытия общественно необходимой информации; противоправного применения специальных средств воздействия на индивидуальное, групповое и общественное сознание; неисполнения органами государственной власти, организациями и гражданами требований законодательства Российской Федерации, регулирующего отношения в информационной сфере; неправомерных ограничений доступа граждан к открытым государственным информационным ресурсам органов государственной власти, к архивным материалам и другой социально значимой информации; дезорганизации и разрушения системы накопления и сохранения культурных ценностей, включая архивы; нарушений конституционных прав человека и гражданина на свободу массовой информации, а также недостаточного нормативного правового регулирования отношений в области реализации конституционных ограничений этой свободы; вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиления зависимости духовной жизни страны, экономической и политической сфер общественной жизни России от зарубежных информационных структур; пропаганды образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих нормам, принятым в российском обществе; снижения уровня образованности граждан, существенно осложняющего подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных; манипулирования информацией (дезинформация, сокрытие или искажение информации).

Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка ее продукцией и выходу этой продукции на мировые рынки, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов проявляются в виде: противодействия доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации и информационных продуктов; усиления технологической зависимости Российской Федерации от зарубежных стран в области информатизации, телекоммуникации и связи; закупки импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам; вытеснения с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; увеличения оттока квалифицированных кадров из России, их перехода в зарубежные компании.

Угрозы безопасности информационных и телекоммуникационных средств и систем как уже развернутых, так и создаваемых на территории России, проявляются в виде: нарушения адресности, качества и своевременности информационного обмена; противоправного сбора и использования информации; нарушения технологии обработки информации; внедрения в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработки и распространения программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации; уничтожения, повреждения, радиоэлектронного подавления или разрушения средств и систем обработки информации, телекоммуникации и связи; воздействия на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; компрометации ключей и средств криптографической защиты информации; утечки информации по техническим каналам; внедрения электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи. а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; уничтожения, повреждения, разрушения или хищения машинных и других носителей информации; перехвата информации в сетях передачи данных и на линиях связи, дешифрования этой информации и навязывания недостоверной информации; использования не сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры; несанкционированного доступа к информации, находящейся в банках и базах данных; нарушения законных ограничений на распространение информации.

Выводы

К определению основных понятий в области безопасности информационных технологий и общих целей защиты надо подходить с позиции защиты интересов и законных прав субъектов информационных отношений. Необходимо всегда помнить, что защищать надо именно субъектов информационных отношений, так как в конечном счете именно им, а не самой информации или системам ее обработки может наноситься ущерб. Иными словами, защита информации и систем ее обработки - вторичная задача. Главная задача - это защита интересов субъектов информационных отношений. Такая расстановка акцентов позволяет правильно определять требования к защищенности конкретной информации и систем ее обработки.

В соответствии с возможной заинтересованностью различных субъектов информационных отношений существует четыре основных способа нанесения им ущерба посредством разного рода воздействий на информацию и системы ее обработки:

нарушение конфиденциальности (раскрытие) информации;

нарушение целостности информации (ее полное или частичное уничтожение, искажение, фальсификация, дезинформация);

нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;

несанкционированное тиражирование открытой информации (не являющейся конфиденциальной), например, программ, баз данных, разного рода документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая свойствами материальных объектов, имеет такую особенность, как неисчерпаемость ресурса, что существенно затрудняет контроль за ее тиражированием.

Защищать АС (с целью защиты интересов субъектов информационных отношений) необходимо не только от несанкционированного доступа (НСД) к хранимой и обрабатываемой в них информации, но и от неправомерного вмешательства в процесс ее функционирования, нарушения работоспособности системы, то есть от любых несанкционированных действий. Защищать необходимо все компоненты АС: оборудование, программы, данные, персонал.

Механический перенос подходов к обеспечению безопасности субъектов информационных отношений из одной предметной области в другую, как правило, успеха не имеет. Причина этого - существенные различия интересов субъектов в разных предметных областях, в частности, различия в приоритетах свойств защищаемой информации и требований к характеристикам систем обработки информации.

Требования к уровню защищенности критичных свойств информационных пакетов различных типов (документов, справок, отчетов и т.п.) в конкретной предметной области должны устанавливаться ее владельцами (собственниками) или другими субъектами информационных отношений на основе анализа серьезности последствий нарушения каждого из свойств информации (типов информационных пакетов): доступности, целостности и конфиденциальности.

Прежде чем переходить к рассмотрению основных задач и подходов к построению систем защиты, призванных обеспечить надлежащий уровень безопасности субъектов информационных отношений, надо уточнить, от какого рода нежелательных воздействий необходимо защищать информацию и автоматизированные системы ее обработки и передачи.

Заключение

Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:

высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;

вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;

повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;

отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;

концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;

наличием интенсивного обмена информацией между участниками этого процесса;

количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;

обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;

дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);

многообразием видов угроз и возможных каналов несанкционированного доступа к информации;

ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;

развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).

Естественно, в такой ситуации возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.

Наблюдается большая разнородность целей и задач защиты - от обеспечения государственной безопасности до защиты интересов отдельных организаций, предприятий и частных лиц, дифференциация самой информации по степени ее уязвимости.

Все перечисленные факторы имеют самое непосредственное отношение к такой бурно прогрессирующей предметной области как банковское дело. Автоматизированные системы обработки информации в банковской сфере выступают в качестве технической основы для развития и совершенствования существующих банковских технологий и платежных систем в частности. Позволяя ускорить процессы движения финансовых ресурсов, АСОБИ способствуют повышению эффективности функционирования всех финансово-кредитных механизмов государства. От качества платежной системы, в конечном счете, существенно зависит эффективность всей экономики.

Общеизвестно, что создать абсолютно надежную систему защиты невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому можно говорить только о некотором достаточном уровне безопасности, обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта), или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл.

Что же необходимо защищать и от чего надо защищаться?

Защищать необходимо всех субъектов информационных отношений от возможного материального или морального ущерба, который могут нанести им случайные или преднамеренные воздействия на компьютерную систему и информацию.

Защищаться необходимо от таких нежелательных воздействий, как ошибки в действиях обслуживающего персонала и пользователей системы, ошибки в программном обеспечении, преднамеренные действия злоумышленников, сбои и отказы оборудования, стихийные бедствия и аварии. Естественно на основе разумного анализа риска.

Предотвращать необходимо не только несанкционированный доступ к информации с целью ее раскрытия или нарушения ее целостности, но и попытки проникновения с целью нарушения работоспособности этих систем. Защищать необходимо все компоненты систем: оборудование, программы, данные и персонал.

Все усилия по обеспечению внутренней безопасности систем должны фокусироваться на создании надежных и удобных механизмов принуждения всех ее законных пользователей и обслуживающего персонала к безусловному соблюдению требований политики безопасности, то есть установленной в организации дисциплины прямого или косвенного доступа к ресурсам и информации.

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является выявление, анализ и классификация возможных путей реализации угроз безопасности, то есть возможных каналов несанкционированного доступа к системе с целью нарушения ее работоспособности или доступа к критической информации, а также оценка реальности реализации угроз безопасности и наносимого при этом ущерба.

На аппаратно-программном уровне (уровне операционных систем) сложнее всего защититься от целенаправленных действий высококвалифицированных в области вычислительной техники и программирования злоумышленников, но именно к этому надо стремиться.

Как строить систему защиты, какие методы и средства можно при этом использовать?

Все известные меры защиты компьютерных систем подразделяются на: законодательные, морально - этические, административные, физические и технические (аппаратурные и программные). Все они имеют свои достоинства и недостатки.

Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании различных методов и средств их защиты на всех этапах жизненного цикла систем.

Основными универсальными механизмами противодействия угрозам безопасности, реализуемыми в конкретных средствах защиты, являются:

идентификация (именование и опознавание), аутентификация (подтверждение подлинности) и авторизация (присвоение полномочий) субъектов;

контроль (разграничение) доступа к ресурсам системы;

регистрация и анализ событий, происходящих в системе;

контроль целостности ресурсов системы.

Система защиты должна строиться эшелонированно в виде концентрических колец безопасности (обороны). Самое внешнее кольцо безопасности обеспечивается морально-этическими и законодательными средствами (неотвратимость возмездия за совершенное деяние). Второе кольцо безопасности представлено физическими и организационными средствами - это внешняя защита системы (защита от стихийных бедствий и внешних посягательств). Внутренняя защита (защита от ошибочных и умышленных действий со стороны персонала и законных пользователей) обеспечивается на уровне аппаратуры и операционной системы и представлена линией обороны, исключающей возможность работы посторонних с системой (механизм идентификации и аутентификации), и кольцами защиты всех ресурсов системы от неавторизованного использования (механизм разграничения доступа в соответствии с полномочиями субъекта). Механизмы регистрации событий и обеспечения целостности повышают надежность защиты, позволяя обнаруживать попытки преодоления других уровней защиты и своевременно предпринимать дополнительные меры, а также исключать возможность потери ценной информации из-за отказов и сбоев аппаратуры (резервирование, механизмы отслеживания транзакций). И, наконец, последнее кольцо безопасности представлено средствами прикладной защиты и криптографии.

Организационные меры должны выступать в качестве обеспечения эффективного применения других методов и средств защиты в части, касающейся регламентации действий людей.

Защиту, основанную на административных мерах, надо везде, где только можно, усиливать соответствующими более надежными современными физическими и техническими средствами.

Опыт создания систем защиты позволяет выделить следующие основные принципы построения систем компьютерной безопасности, которые необходимо учитывать при их проектировании и разработке:

системность подхода;

комплексность решений;

непрерывность защиты;

разумная достаточность средств защиты;

простота и открытость используемых механизмов защиты;

минимум неудобств пользователям и минимум накладных расходов на функционирование механизмов защиты.

К сожалению, как и почти любое достижение человеческого гения, компьютер, решая одни экономические и социальные проблемы, одновременно порождает и другие, порою не менее сложные. Сегодня, когда масштабы выпуска и применения средств вычислительной техники в нашей стране должны резко увеличиться, к решению возможных в будущем проблем надо готовиться загодя, чтобы они не застали врасплох.

Список используемой литературы

1. Ю.М.Батурин Проблемы компьютерного права. М., 1991.

2. В.А.Копылов Информационное право: Учебное пособие. - М.: Юристъ, 1997.

3. Федеральный закон “Об информации, информатизации и защите информации” от 20 февраля 1995 г.

4. В.В.Домарев «Безопасность информационных технологий». Системный подход ООО ТИД Диа Софт, 2004.

5. В.Ф.Шаньгин «Защита компьютерной информации». Эффективные методы и средства. М.: ДМК Пресс, 2008.

6. В.Н.Лопатин «Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества». М.: 2000.

7. Ю.Родичев «Информационная безопасность»: Нормативно-правовые аспекты. СПб.: Питер, 2008.

Размещено на Allbest.ru