Основы информационной безопасности

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Уральский государственный экономический университет

Кафедра публичного права

Основы информационной безопасности

Конспект лекций

А.Л. Анисимов

Екатеринбург 2012

СОДЕРЖАНИЕ

Введение

Лекция 1. Основные понятия и задачи информационной безопасности

Лекция 2. Понятие национальной безопасности, виды безопасности. Информационная безопасность РФ

Лекция 3. Международная, национальная и ведомственная нормативная правовая база в области информационной безопасности

Лекция 4. Угрозы и уязвимости информационной безопасности

Лекция 5. Стандарты информационной безопасности

Лекция 6. Меры и средства защиты информации (меры контроля)

Основные стандарты информационной безопасности Российской Федерации

ВВЕДЕНИЕ

В настоящее время в России продолжается процесс формирования системы требований информационной безопасности для организаций банковской системы, создан ряд стандартов, система сертификации, методика проверки требований к информационной безопасности.

Курс с названием «Основы информационной безопасности» (Information Security) входит в целый ряд государственных образовательных стандартов по различным специальностям, например: 090102 - «Компьютерная безопасность», 090105 - «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 - «Информационная безопасность телекоммуникационных систем» и других.

Курс лекций посвящен основополагающим вопросам теории и практики обеспечения информационной безопасности и защиты информации. Опираясь на различные международные и национальные стандарты, раскрываются все основные понятия в данной области, в систематизированном виде рассматривается нормативно-правовая база. Определенное внимание уделено банковской тематике для демонстрации рассматриваемых общих понятий и положений. Изучение материала лекций является первым этапом для дальнейшего изучения других разделов информационной безопасности, которые выделены в связи с их важностью и излагаются в курсах «Современная прикладная криптография», «Управление информационными рисками», «Технические средства защиты информации», «Защита информации с использованием интеллектуальных карт».

При подготовке курса лекций автором использованы результаты научных исследований А.А. Варфоломеева.

Цель изучения курса предполагает формирование у студентов целостного представления о процессах и основных тенденциях современного развития информационных технологий и методов их защиты; приобретение умения применять информационно-правовые нормы при разрешении конкретных практических ситуаций; приобретение навыков работы с нормативным материалом и анализа правовых источников информации; усвоение информационно-правовых понятий и категорий, юридической и информационно-технической терминологии, используемой как при изучении учебной дисциплины, так и в рамках информационного блока.

Курс лекций предназначен для студентов очной формы обучения по направлению подготовки 030900 «Юриспруденция» Уральского государственного экономического университета

безопасность информационный правовой защита

ЛЕКЦИЯ 1. ОСНОВНЫЕ ПОНЯТИЯ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация - сведения (сообщения, данные) независимо от формы их представления».

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Доступ к информации - возможность получения информации и ее использования.

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети. (иногда можно встретить термин Компьютерная информация - информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Продолжая перечень понятий, выделим из [ГОСТ Р 50922-96] понятие:

защищаемая информация - «информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации».

В соответствии с законом № 149-ФЗ к собственнику информации добавился еще и обладатель информации, защищающий ее ограничением доступа, как сказано в определении.

Согласно закону № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве

источника такой информации.

Информация в зависимости от порядка предоставления или распространения подразделяется на информацию:

1) свободно распространяемую;

2) предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) подлежащую предоставлению или распространению в соответствии с федеральными законами;

4) ограниченную или запрещенную для распространения в Российской Федерации.

Закон РФ «О средствах массовой информации», принятый в 1991 г., определяет понятие «массовая информация» как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы». Довольно специфичной информацией являются так называемые «кредитные истории» и «персональные данные», которые рассматриваются специальными законами.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Для сравнения приведем ряд других определений, собранных в словаре Парфенова В.И., который вышел в 2003 г.

Защита информации -

1) деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ Р 50922-96 ЗИ. Основные термины и определения];

2) все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера [Указ Президента РФ № 1268 от 26 августа 1996 г.];

3) комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, изменения, модификации (подделки), несанкционированного копирования, блокирования информации [Положение о государственном лицензировании в области защиты информации от 27 апреля 1994 года.];

4) организационные, программные и технические методы и средства, направленные на удовлетворение ограничений, установленных для типов данных или экземпляров типов данных в системе обработки данных [Толковый словарь по информатике, 1991];

Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах (ресурсах), а информация рассматривается как их часть.

В ряде документов активы или ресурсы (assets) - это «все, что имеет ценность для организации» [См., например, ISO/IEC 13335-1:2004].

Стандарт банка России СТО БР ИББС 1.0-2006 уточняет это определение. В частности, согласно стандарту активы организации банковской системы Российской Федерации: «все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении».

К активам организации (Банка) могут относиться:

- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);

- информационные активы на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;

- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);

- банковские продукты и услуги.

В свою очередь информационные активы делятся на следующие типы:

финансово - аналитическая информация; служебная информация; управляющая информация общего и специального назначения; справочная информация; информация операционной и телекоммуникационной среды; платежная информация.

В качестве одного из важнейших активов также рассматривается репутация организации. В последнее время часто оценивается и так называемый брэнд организации или торговой марки.

Все активы организации должны быть идентифицированы и классифицированы удобным и приемлемым для нее образом. Примеры рекомендаций для этого даны в проекте рекомендаций Банка России РС БР ИББС-2.3-2008.

Среди объектов защиты особую роль играют приводимые ниже объекты, определение которым мы приводим в данном разделе.

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [ГОСТ 34.003-90]. В зависимости от вида деятельности выделяют виды автоматизированных систем:

- АСУ - автоматизированная система управления;

- САПР - система автоматизации проектирования.

Автоматизированная информационная система - комплекс программных и технических средств, предназначенных для сбора, хранения, поиска и выдачи информации по запросам [Толковый словарь по информатике. - М.: Ф. и Ст., 1991].

Автоматизированная банковская система - автоматизированная система, реализующая банковский технологический процесс или его часть.

Банковский технологический процесс - технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.

Чтобы определить, что такое «информационная безопасность», рассмотрим сначала само понятие «безопасности». Здесь тоже имеет место различие мнений и определений. Вл. Даль определял, что «безопасность - есть отсутствие опасности, сохранность, надежность». В толковом словаре русского языка Ожегова С.И. сказано, что «безопасность - состояние, в котором не угрожает опасность, есть защита от опасности».

В законе «О безопасности» 1992 г. определено, что «безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».

Приведем некоторые определения понятия «угрозы» по времени их появления в документах.

1. Угроза - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства [ФЗ «О безопасности» 05.03.1992].

2. Угроза - потенциальный источник возникновения ущерба [ГОСТ Р 51898-2002 п. 3.5].

3. Угроза - потенциальная причина инцидента, который может нанести ущерб системе или организации [ISO/IEC 13335-1:2004].

Инцидент информационной безопасности (information security incident) [ГОСТ ИСО/МЭК 13335-1] - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В качестве некоторых примеров инцидентов в ГОСТе указаны:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Более сложно понятие «инцидента» определено в стандарте [ISO/IEC 18044: 2004], через «событие информационной безопасности».

Инцидент - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий (информационной безопасности), имеющих значительную вероятность компрометации бизнес-операции и создания угрозы [ISO/IEC 18044: 2004].

Событием (информационной безопасности) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности, или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [ISO/IEC 18044: 2004].

В стандарте Банка России понятие «инцидент» распространено на организацию банковской системы РФ.

Инцидент информационной безопасности организации банковской системы Российской Федерации - событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.

С инцидентом связано следующее понятие.

Воздействие (impact) - результат нежелательного инцидента информационной безопасности.

Говоря об угрозах, часто используется понятие «модели угроз», которая, согласно стандарту СТО БР ИББС 1.0-2006, «включает описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба».

Рассмотрим понятие «модели угроз» по составляющим.

Источник угроз - субъект, материальный объект или физическое явление, создающее угрозу безопасности информации.

Для источников угроз - людей - разрабатывается модель нарушителя. В модели нарушителя конкретизируются субъекты, их средства, знания и опыт, с помощью которых они могут реализовать угрозы и нанести ущерб объектам, а также мотивации их действий.

Частным видом нарушителя является злоумышленник.

Злоумышленник - основной субъект угроз, источник противоборства с собственником в борьбе за активы и доходы.

Уязвимость - недостатки или слабые места активов, которые могут быть использованы угрозой [СТО БР ИББС-1.0-2006]. Наличие уязвимости без присутствия угрозы не причиняет ущерба, но все уязвимости должны контролироваться на предмет изменения ситуации. Также и угрозы, не имеющие соответствующих уязвимостей, не приводят к ущербу, но должны учитываться.

Ущерб - физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание.

Отечественный ГОСТ Р 51898-2002 определяет, что «безопасность - отсутствие недопустимого риска».

Риск - сочетание вероятности нанесения ущерба и тяжести этого ущерба [ГОСТ Р 51898-2002. Аспекты безопасности].

В этом документе [ГОСТ Р 51898-2002] также сказано, что термин «риск» обычно используют только тогда, когда существует возможность негативных последствий, а в некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события.

Риск - сочетание вероятности события и его последствий [Guide 73:2002 Risk Management - Vocabulary - Guidelines for use in standards].

Риск - неопределенность, предполагающая возможность потерь (ущерба) [СТО БР ИББС 0.1-2006].

На практике можно встретить следующие виды рисков:

стратегический риск, юридический риск, операционный риск, репутационный риск, рыночный риск, кредитный риск, инвестиционный риск, политический риск, проектный риск, ИТ- риск, риск информационной безопасности и другие.

Информационный риск (ИТ-риск) - это опасность возникновения убытков или ущерба в результате применения информационных технологий. Иными словами, ИT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи (М. Мур). С информационным риском наиболее связаны операционный риск и риск информационной безопасности.

Операционный риск - риск убытков, связанных с неадекватными либо неудачными внутренними процессами, действиями персонала или систем, а также в связи с внешними событиями. Операционный риск включает в себя юридический риск, но не включает стратегический и репутационный риски. Операционный риск определяется как риск прямых или косвенных потерь от неадекватных или имеющих недостатки внутренних процессов, от людей и систем или от внешних событий.

Менеджмент риска [ГОСТ Р ИСО/МЭК 17799] (risk management) - скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска [ISO/IEC Guide 73:2002].

Менеджмент риска (risk management) - полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий [ГОСТ Р ИСО/МЭК 13335-1].

Остаточный риск (residual risk) - риск, остающийся после его обработки.

Анализ риска (risk analysis) - систематический процесс определения величины риска.

Оценка риска (risk assessment) - процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

(Оценка риска (risk assessment) - общий процесс анализа риска и оценка степени риска. Это определение из [ISO/IEC Guide 73:2002] используется в ГОСТ Р ИСО/МЭК 17799-2005. Там же используется следующее понятие:

Оценивание риска (risk evaluation) - процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска [ISO/IEC Guide 73:2002].

Обработка риска (risk treatment) - процесс выбора и осуществления мер по модификации риска. (Аналогично как в [ISO/IEC Guide 73:2002] и [ГОСТ Р ИСО/МЭК 17799-2005].) Обработка риска включает: предотвращение, перенос, снижение и принятие риска. После обработки рисков могут оставаться остаточные риски.

Защитная мера (или мера защиты, контрмера, мера контроля) - мера, используемая для уменьшения риска [ГОСТ Р 51898-2002, ISO/IEC Guide 51] (иногда говорят о «мерах и средствах защиты». В этом случае имеют в виду организационные меры и технические средства защиты.)

Базовые защитные меры (baseline controls) - минимальный набор защитных мер, установленный для системы или организации [ГОСТ Р ИСО/МЭК 13335-1]. Они соответствуют базовому уровню безопасности (Baseline Security) - обязательный минимальный уровень защищенности для информационных систем. В ряде стран существуют требования к системе защитных мер, соответствующих этому уровню (CCTA Baseline security survey - Великобритания, BSI IT-Grundschutz - Германия, ISACA).

Контрмеры базового уровня служат для защиты от стандартного набора наиболее распространенных угроз (вирусы, сбои оборудования, не санкционируемый доступ и т.д.). В целом средства контроля могут обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.

Защитные меры (контроли) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер (или средств) на верхнем уровне. В свою очередь, организационные меры включают законодательные, административные и процедурные меры защиты.

Сущность функционирования системы безопасности заключается в выявлении, прогнозировании, предотвращении, нейтрализации, пресечении, локализации, устранении, отражении и уничтожении угроз защищаемому объекту, а также формировании условий, благоприятствующих деятельности данного объекта, достижения им своих целей, защиты его интересов.

Система обеспечения безопасности того или иного объекта решает следующие задачи:

1. Своевременное выявление и прогнозирование внешних и внутренних угроз.

2. Осуществление комплекса оперативных и долговременных мер по предупреждению и нейтрализации внутренних и внешних угроз.

3. Создание и поддержание в готовности сил и средств для обеспечения безопасности.

4. Управление силами и средствами обеспечения безопасности в нормальных (повседневных) условиях и при возникновении чрезвычайных ситуаций.

5. Осуществление системы мер по нормальному функционированию объектов безопасности после возникновения чрезвычайных ситуаций.

6. Участие в мероприятиях по обеспечению безопасности за пределами своего объекта в соответствии с договоренностями (соглашениями) внутри корпорации или объединения фирм (предприятий).

Система комплексной безопасности - совокупность организационных мероприятий и действий подразделений охраны и служб безопасности организаций и автоматизированных систем по защите информации, направленных на обеспечение установленного режима, порядка и правил поведения, предотвращение, обнаружение и ликвидацию угроз жизни, среде обитания, имуществу и информации, а также поддержание работоспособности технических средств и систем на охраняемом объекте с целью ограничения или предотвращения действий нарушителя для осуществления опасных несанкционированных операций на объекте, приводящих к частичному или полному нарушению функционирования данного объекта.

В ФЗ «О техническом регулировании» 2002 года определена безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации как состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государству или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.

Понятие информационная безопасность было нормативно закреплено в качестве самостоятельной составляющей понятия безопасности в ФЗ «О безопасности» в 1992 г. Далее в 1996 г. в ФЗ «Об участии в международном информационном обмене» сказано, что информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства.

Информационная среда - сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

В Доктрине информационной безопасности РФ от 2000 г. Это определение приспособлено и уточнено для России. Под «информационной безопасностью Российской Федерации» понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

При этом, например информационная безопасность автоматизированных систем - область науки и техники, охватывающая совокупность программно-аппаратных, криптографических, технических и организационно-правовых методов и средств обеспечения безопасности информации в автоматизированных системах при ее обработке, хранении и передаче с использованием современных информационных технологий.

Здесь вызывает возражение только упоминание «современных» технологий. Обращает на себя внимание другая классификация мер защиты, выделение криптографических методов и средств.

Многие вариации определений информационной безопасности были основаны на определении из британского стандарта BS 7799, вышедшего в 1995 г., где сказано, что информационная безопасность - защищенность ресурсов информационной системы от факторов, представляющих угрозу для конфиденциальности, целостности и доступности.

Доступность (availability) - cвойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта [ИСО/МЭК 7498-2]. Иными словами, доступность - это возможность за приемлемое время получить требуемую информационную услугу.

Целостность (integrity) - свойство сохранения правильности и полноты активов [ГОСТ Р ИСО/МЭК 13335-1]. Также: целостность - это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность (confidentiality) - свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498-2].

Приведенные аспекты конфиденциальности, целостности и доступности в разных системах имеют разный вес. Так, в ГОСТ Р ИСО/МЭК 13335-1:2005 это перечисление в определении больше.

Информационная безопасность (information security) - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Неотказуемость (non-repudiation) - способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [ИСО/МЭК 13888-1, ИСО/МЭК 7498-2, ГОСТ Р 13335-1].

Подотчетность (учетность, отслеживаемость) (accountability) - свойство, обеспечивающее однозначное прослеживание действий любого логического объекта [ИСО/МЭК 7498-2].

Аутентичность (authenticity) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

Достоверность (reliability) - свойство соответствия предусмотренному поведению и результатам.

Исторически к конфиденциальности было больше внимания. С этим понятием связано понятие «тайна», которое имеет множество производных: государственная тайна, коммерческая тайна, адвокатская тайна, банковская тайна, врачебная тайна, налоговая тайна, нотариальная тайна, персональные данные, личная и семейная тайна, служебная тайна, тайна голосования, тайна переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, тайна следствия и судопроизводства, тайна совещания судей, тайна страхования, тайна усыновления (удочерения), аудиторская тайна и др.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации [Закон РФ «О государственной тайне»].

Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [ФЗ РФ «О коммерческой тайне», 2004].

Коммерческая тайна - режим конфиденциальной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [в редакции ФЗ от 02.02.06

№ 19-ФЗ и от 24.07.07 «214-ФЗ].

По аналогии можно понять и определить, что такое: государственная безопасность, экономическая безопасность, энергетическая безопасность, экологическая безопасность, пожарная безопасность, транспортная безопасность, банковская безопасность и другие.

По своему содержанию информационная безопасность включает: компьютерную безопасность; безопасность информационных систем и процессов; безопасность среды для реализации информационных процессов.

Компьютерная безопасность - свойство компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации (данных) от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения вредоносных программ, нарушения правил эксплуатации, несанкционированной модификации программ и т.п..

Помимо системы обеспечения (информационной) безопасности, важна система менеджмента информационной безопасности.

В частности, для организаций банковской системы есть определение:

система менеджмента (управления - в некоторых документах)информационной безопасности организации банковской системы Российской Федерации; СМИБ (СУИБ) - это часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].

Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.

Международный стандарт ISO/IEC IS 27001 содержит модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга, модель Деминга-Шухарта).

При этом:

- на стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации;

- на стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессов и процедур СМИБ организации;

- на стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа;

- на стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

Использование для обеспечения ИБ «процессного подхода» на базе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях.

Под процессом понимается совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующих входы в выходы (ГОСТ Р ИСО 9000-2001 «Системы менеджмента качества. Основные положения и словарь»).

Система менеджмента ИБ (СМИБ), предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ, является частью общей системы менеджмента организации (BS 7799-2).

Важнейшими исходными данными для эффективной деятельности служб ИБ являются информационные модели основной деятельности организации (описания бизнес-процессов, реализуемых технологий и т.п.). Данные модели определяют контекст и акценты внимания деятельности служб ИБ, так как они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимости для потенциальных злоумышленников, какие защитные меры могут потребоваться и какие из них могут быть наиболее эффективными.

Результатами (выходами) деятельности и процессов по обеспечению ИБ организации являются:

- документы (отчеты, предложения, внутренние нормативные документы);

- механизмы (средства) обеспечения ИБ и решения по их реконфигурации (совершенствованию);

- сигнал опасности для основной деятельности (бизнеса) организации.

Политика безопасности организации - одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных

технологий (политика безопасности ИТТ) (ICТ security policy) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию [ГОСТ Р 13335-1].

Согласно [ГОСТ Р ИСО/МЭК 17799-2005] политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон. Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью.

Политика должна содержать следующие положения:

а) определение информационной безопасности, ее общих целей и сферы действия, а также упоминание значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;

б) изложение намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

в) основание для установки целей контроля и мер контроля, включая структуру оценки риска и менеджмент риска;

г) краткое изложение наиболее существенных для организации политик безопасности, принципов, стандартов и требований, включающее:

1) соответствие законодательным, регулятивным требованиям и договорным обязательствам;

2) требования в отношении обучения и осведомленности в вопросах безопасности;

3) управление непрерывностью бизнеса;

4) ответственность за нарушения политики информационной безопасности;

д) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

е) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Такая политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации (дополнительную информацию можно найти в ISO/IEC 13335-1:2004).

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения ее непрерывной стабильности, адекватности и эффективности.

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой

ситуации, юридических условиях или технической среде.

В стандарте Банка России приводится понятие политики ИБ банковской системы, похожее на предыдущие определения:

политика информационной безопасности организации банковской системы Российской Федерации - одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности. Завершает раздел исходная концептуальная схема обеспечения информационной безопасности, которая изложена в стандарте Банка России СТО БР ИББС 0.1-2006. Суть схемы ИБ - противоборство собственника и злоумышленника за права на информационные активы в целях последующего извлечения дохода.

В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

ЛЕКЦИЯ 2. ПОНЯТИЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ, ВИДЫ БЕЗОПАСНОСТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РФ

В Концепции национальной безопасности РФ, утвержденной Указом Президента РФ от 17.12.1997 г. № 1300 (в редакции Указа Президента РФ от 10.01.2000 г. № 24), дается следующее определение национальной безопасности.

Национальная безопасность РФ - -безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в РФ.

Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в различных сферах жизнедеятельности: экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других.

Жизненно важные интересы - это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Как правило, понятия «национальные интересы» и «жизненно важные интересы» являются идентичными.

Национальные интересы обеспечиваются институтами государственной власти, осуществляющими свои функции, в том числе во взаимодействии с действующими на основе Конституции РФ и законодательства РФ общественными организациями.

Интересы личности состоят в реализации конституционных прав и свобод, в обеспечении личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии человека и гражданина.

Интересы общества состоят в упрочении демократии, в создании правового, социального государства, в достижении и поддержании общественного согласия, в духовном обновлении России.

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа. Уязвимостями для национальной безопасности страны, например, являются: состояние отечественной экономики, несовершенство системы организации государственной власти и гражданского общества, наличие преступности и терроризма, обострение межнациональных и осложнение международных отношений и другие.

Усиливаются угрозы национальной безопасности РФ в информационной сфере. Серьезными угрозами являются: стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Обеспечение национальной безопасности РФ во многом определяется состоянием информационной безопасности.

Важнейшими задачами обеспечения информационной безопасности РФ являются:

* реализация конституционных прав и свобод граждан РФ в сфере информационной деятельности;

* совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

* противодействие угрозе развязывания противоборства в информационной сфере.

Можно выделить следующие составляющие национальной безопасности: экономическую, внутриполитическую, социальную, духовную, международную, информационную, военную, пограничную, экологическую. Содержание каждой из перечисленных составляющих отражено в соответствующих нормативных правовых актах.

В Доктрине информационной безопасности РФ 2000 года представлены две классификации национальных интересов в информационной сфере:

* классификация по принадлежности интересов;

* классификация по важности интересов.

В соответствии с первой классификацией национальные интересы - это совокупность интересов личности, интересов общества и интересов государства.

Интересы личности:

* реализация конституционных прав на доступ к информации;

* использование информации в интересах осуществления не запрещенной законом деятельности;

* физическое, духовное и интеллектуальное развитие;

* защита информации, обеспечивающей личную безопасность.

Интересы общества:

* обеспечение интересов личности в информационной сфере;

* упрочение демократии, создание правового, социального государства;

* достижение и поддержание общественного согласия;

* духовное обновление России.

Интересы государства:

* гармоничное развитие российской информационной инфраструктуры;

* реализация конституционных прав человека и гражданина в области получения информации и пользования ею;

* незыблемость конституционного строя, суверенитета и территориальной целостности России;

* политическая, экономическая и социальная стабильность;

* безусловное обеспечение законности и поддержание правопорядка;

* развитие равноправного и взаимовыгодного международного сотрудничества.

По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды [Доктрина ИБ РФ, 2000]:

* угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

* угрозы информационному обеспечению государственной политики РФ;

* угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

* угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние.

Внешними источниками угроз, например, являются:

* иностранные политические, экономические, военные, разведывательные, информационные и иные структуры, направленные против интересов РФ в информационной сфере;

* международные террористические организации;

* увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

* разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Внутренними источниками угроз, например, являются:

* критическое состояние отечественных отраслей промышленности;

* неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

* недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

* недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

* неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

* недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;

* недостаточная экономическая мощь государства;

* снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

* недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

* отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Рассмотрим структуру государственной системы информационной безопасности и основные функции ее составных частей.

Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. № 912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК России). ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по следующим вопросам в области обеспечения информационной безопасности:

1) обеспечение безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;

2) противодействие иностранным техническим разведкам на территории РФ;

3) обеспечение защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

4) защита информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.

Основными задачами в области обеспечения информационной безопасности для ФСТЭК России являются:

1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

2) осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

3) организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;

4) осуществление самостоятельного нормативно-правового регулирования вопросов: обеспечения безопасности информации в ключевых системах информационной инфраструктуры; противодействия техническим разведкам; технической защиты информации; размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ; координации деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;

5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ,

органах местного самоуправления и организациях;

6) прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;

7) противодействие добыванию информации техническими средствами разведки, техническая защита информации;

8) осуществление координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ и организаций по государственному регулированию размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ;