Windows 7 

Три аспекта информационной безопасности: доступность, целостность, конфиденциальность. Три вида возможных нарушений информационной системы. Информационная безопасность Три важнейших аспекта информационной безопасности

В то время как информационная безопасность - это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс , направленный на достижение этого состояния.

Информационная безопасность организации - целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации - это последовательность действий для достижения определённой цели.

Информационная безопасность государства - состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере .

Стандартизированные определения

Состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность - защита конфиденциальности, целостности и доступности информации.

  1. Конфиденциальность : свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
  2. Целостность : неизменность информации в процессе её передачи или хранения.
  3. Доступность : свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная безопасность (англ. information security ) - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security ) - состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security ) - состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы - состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность - защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

Выделяют и другие не всегда обязательные категории модели безопасности:

В Государственном стандарте РФ приводится следующая рекомендация использования терминов «безопасность » и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска .

Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:

  • «защитный шлем» вместо «безопасный шлем»;
  • «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности :

  1. Законодательная, нормативно-правовая и научная база.
  2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо :

  • выявить требования защиты информации, специфические для данного объекта защиты;
  • учесть требования национального и международного Законодательства;
  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  • определить подразделения, ответственные за реализацию и поддержку СОИБ;
  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся :

Акты федерального законодательства:

  • Международные договоры РФ;
    • Конституция РФ;
    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
    • Указы Президента РФ;
    • Постановления правительства РФ;
    • Нормативные правовые акты федеральных министерств и ведомств;
    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право .

К нормативно-методическим документам можно отнести

  • Методические документы государственных органов России:
    • Доктрина информационной безопасности РФ;
    • Руководящие документы ФСТЭК (Гостехкомиссии России);
    • Приказы ФСБ;
  • Стандарты информационной безопасности , из которых выделяют:
    • Международные стандарты;
    • Государственные (национальные) стандарты РФ;
    • Рекомендации по стандартизации;
    • Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
  • Федеральная служба безопасности Российской Федерации (ФСБ России);
  • Федеральная служба охраны Российской Федерации (ФСО России);
  • Служба внешней разведки Российской Федерации (СВР России);
  • Министерство обороны Российской Федерации (Минобороны России);
  • Министерство внутренних дел Российской Федерации (МВД России);
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

  • Служба безопасности персонала (Режимный отдел);
  • Отдел кадров;

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы .

Политика безопасности (информации в организации) (англ. Organizational security policy ) - совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy ) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы :

  • Защита объектов информационной системы;
  • Защита процессов, процедур и программ обработки информации;
  • Защита каналов связи (акустические , инфракрасные, проводные, радиоканалы и др.);
  • Подавление побочных электромагнитных излучений;
  • Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1. Определение информационных и технических ресурсов, подлежащих защите;
  2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4. Определение требований к системе защиты;
  5. Осуществление выбора средств защиты информации и их характеристик;
  6. Внедрение и организация использования выбранных мер, способов и средств защиты;
  7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему . Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799-2005 , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации.

Организационная защита объектов информатизации

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

  • организацию охраны, режима, работу с кадрами, с документами;
  • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

  • организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
  • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
  • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
  • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Исторические аспекты возникновения и развития информационной безопасности

Объективно категория «информационная безопасность» возникла с появлением между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесён ущерб путём воздействия на средства информационных коммуникаций , наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов :

  • I этап - до 1816 года - характеризуется использованием естественно возникавших средств информационных коммуникаций . В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.
  • II этап - начиная с 1816 года - связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи . Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).
  • III этап - начиная с 1935 года - связан с появлением радиолокационных и гидроакустических средств . Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.
  • IV этап - начиная с 1946 года - связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.
  • V этап - начиная с 1965 года - обусловлен созданием и развитием локальных . Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.
  • VI этап - начиная с 1973 года - связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей - хакеров , ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности - важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право - новая отрасль международной правовой системы.
  • VII этап - начиная с 1985 года - связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

См. также

  • Абстрактные модели защиты информации
  • Государственная информационная политика России
  • Критерии определения безопасности компьютерных систем
  • Недекларированные возможности
  • Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
  • Правонарушения в области технической защищённости систем
  • Защита информации от утечки по материально-вещественным каналам

Примечания

  1. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006).
  2. Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799-2005) .
  3. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс, 2005.
  4. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.
  5. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 - 2006) .
  6. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005) .
  7. Поиск. Глоссарий.ru
  8. Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).
  9. Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002) .
  10. Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. - 992 с.
  11. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.
  12. Информационная безопасность в современных системах управления базами данных

Литература

  • Бармен Скотт . Разработка правил информационной безопасности. М.: Вильямс, 2002. - 208 с. - ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .
  • Галатенко В. А. Стандарты информационной безопасности. - М.: Интернет-университет информационных технологий, 2006. - 264 с. - ISBN 5-9556-0053-1 .
  • Галицкий А. В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети - анализ технологий и синтез решений. М.: ДМК Пресс, 2004. - 616 с. - ISBN 5-94074-244-0 .
  • Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
    • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия - Телеком, 2006. - 536 с. - ISBN 5-93517-291-1 , ISBN 5-93517-319-0 .
    • Том 2. Средства защиты в сетях. М.: Горячая Линия - Телеком, 2008. - 560 с. - ISBN 978-5-9912-0034-9 .
  • Лепехин А. Н. Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. - 176 с. - ISBN 978-985-463-258-2 .
  • Лопатин В. Н. Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. - 428 с. -

Технологическая революция в области информации, начавшаяся в последней трети ХХ века и продолжающаяся до сих пор, определила появление таких явлений как «информационные войны» и «информационный терроризм». Поэтому важное место в политике национальной безопасности в настоящее время занимает информационная безопасность.

Технологическая революция в области информации связана, прежде всего, с развитием кибернетики, которое привело к созданию информационных систем управления. Вслед за этим повсеместно в массовом порядке стали внедряться персональные компьютеры, что в свою очередь повлекло за собой ускоренные темп развития телекоммуникационных технологий. Затем персональные компьютеры стали объединять в компьютерные сети, вначале локальные, а затем и глобальные. Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов. Повышение информационной безопасности становится неотложной задачей, решения которой в равной мере требуют и конечные пользователи, и компании .

Информация превратилась в одно из важнейших средств воздействия на общественные отношения, стала одним из ценнейших товаров. Особенной защиты требует такой «нематериальный» товар как информация. Именно поэтому информационная безопасность в настоящее время является одной из самых развивающихся областей современной науки. Это в равной степени относится как к технической, так и правовой стороне вопроса, касающегося информационной безопасности.

Существует довольно много определений понятия «безопасность». Чаще всего безопасность трактуют как такое состояние, когда нет опасности, т.е. «факторов и условий, угрожающих существованию непосредственно индивиду или его сообществу в форме семьи, населенного пункта или государства» . Безопасность довольно часто трактуется как способность объекта сохранять при наличии деструктивных, внешних и/или внутренних воздействий свои важнейшие, системообразующие свойства, основные характеристики и параметры, потеря которых может привести к тому, что объект утрачивает свою сущность, перестает быть самим собой .

Информационная безопасность -- состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.

Понятие «информационная безопасность» взаимосвязано с понятием «безопасность информации». Довольно часто их используют как синонимы. Но, как известно, «безопасность» не существует сама по себе, безотносительно к объекту, «без определения объекта понятие «безопасность» является неопределенным, лишенным внутреннего смысла» . Выбор объекта безопасности предопределяет содержание понятия «безопасность». Поэтому, если в качестве объекта защиты выступает собственно информация, то понятия «информационная безопасность» и «безопасность информации» действительно становятся синонимами. Но, если в качестве объекта защиты рассматривается некий объект (субъект) -- участник информационных отношений, то слово »информационная» в термине «информационная безопасность» указывает на направление деятельности, посредством которой может быть причинен вред объекту защиты и понятие »информационная безопасность» в этом случае следует трактовать как состояние защищенности данного объекта от угроз информационного характера. С.П. Расторгуев (доктор технических наук, действительный член РАЕН, МАИ, АСПН и др., профессор Московского государственного университета им. М. В. Ломоносова.), характеризуя современное состояние проблемы, пишет: «В результате проблема защиты информации, которая ранее была как никогда актуальна, перевернулась подобно монете, что вызвало к жизни ее противоположность -- защиту от информации. Теперь уже саму информационную систему и, в первую очередь человека,- необходимо защищать от поступающей «на вход» информации, потому что любая поступающая на вход самообучающейся системы информация неизбежно изменяет систему. Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению» .

В нашей стране основное внимание общественности сконцентрировано исключительно на проблеме защиты информации. Такое положение сложилось в силу многих обстоятельств. В первую очередь, это обусловлено очевидностью. Информация стала товаром, а товар нужно защищать. Значительно реже безопасность информации рассматривается с точки зрения изначальной полноты и надежности информации.

Информационная безопасность включает три составляющие:

  • - удовлетворение информационных потребностей субъектов;
  • - обеспечение безопасности информации;
  • - обеспечение защиты субъектов информационных отношений от негативного информационного воздействия.

Аннотация: Понятия экономической и информационной безопасности. Ключевые вопросы ИБ. Виды угроз информационной безопасности и классификация источников угроз. Основные виды защищаемой информации. Правовое обеспечение информационной безопасности. Основные аспекты построения системы информационной безопасности.

Понятия экономической и информационной безопасности. Ключевые вопросы ИБ

Информация давно перестала быть просто необходимым для производства материальных ценностей вспомогательным ресурсом - она приобрела ощутимый стоимостный вес , который четко определяется реальной прибылью, получаемой при её использовании, или размерами ущерба, наносимого владельцу информации. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации (актуальности, полноты, непротиворечивости, конфиденциальности), циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, а также безопасность самих систем и технологий.

Современное развитие информационных технологий и, в частности, технологий Internet /Intranet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных закрытых физических каналов доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet . Поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам государственного и хозяйственного управления экономикой в России в условиях дефицита и противоречивости правовой базы породил целый комплекс проблем в области защиты данных, информации, знаний и самих ИКТ. Это и своеобразие становления рыночных отношений, и отсутствие обоснованных концепций реформ, и отставание в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинули на первый план вопросы обеспечения национальной, социальной и корпоративной безопасности, в том числе и в информационной сфере.

В 1983 году министерство обороны США выпустило "Оранжевую книгу" - "Критерии оценки надежных компьютерных систем" ["Trusted Computer System Evaluation Criteria ( TCSEC )". - USA, Department of Defense, 5200.28-STD, 1993], положив тем самым начало систематическому формированию знаний об информационной безопасности (ИБ) за пределами правительственных ведомств.

Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран [ Information Technology Security Evaluation Criteria ( ITSEC ). Harmonised Criteria of France-Germany-Netherlands-United Kingdom. - Department of Trade and Industry , London, 1991].

В 1992 году в России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

" Оранжевая книга " и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Динамичное развитие вычислительной техники, компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности на всех уровнях - национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

В 2012 году в США был опубликован годовой отчет "Компьютерная преступность и безопасность : проблемы и тенденции" ("Issues and Trends: 2012 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа компьютерных преступлений (39% из числа опрошенных). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 77%, в 59% случаев отмечались нарушения со стороны собственных сотрудников. В большом числе компаний (31%) вообще не следили за состоянием безопасности своих компьютерных и сетевых систем, полагаясь на защитные модули компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% опрошенных (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 78% констатировали значительные финансовые потери от этих нарушений;
  • 49% оценили потери количественно - их общая сумма составила более 640 млн. долларов.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 2012 году ущерб от компьютерных преступлений достиг более 900 миллионов долларов, что на 34% больше, чем в 2011 году. Каждое компьютерное преступление наносит ущерб примерно в 200-300 тысяч долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности (" Internet Week", 2013 г.).

Наибольший ущерб , по исследованиям Gartner Group , нанесло манипулирование доступом во внутреннее информационное пространство : кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет .

Однако, увеличение числа атак и распространение вирусов еще не самая большая неприятность - постоянно обнаруживаются новые уязвимые места в программном обеспечении. В информационных письмах Национального центра защиты инфраструктуры США (National Infrastructure Protection Center USA - NIPC ) сообщается, что за период с 2000 по 2012 годы выявлено несколько десятков существенных проблем с программным обеспечением, риск использования которых оценивается как средний или высокий. Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows , Mac OS, . NET . В таких условиях специалисты и системы информационной безопасности должны уметь противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и на основе соответствующей политики вырабатывать адекватные меры по компенсации угроз и уменьшению рисков.

При анализе проблематики, связанной с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных систем и технологий - области, развивающейся беспрецедентно высокими темпами.

К сожалению, современная технология программирования не позволяет создавать полностью безошибочные и безопасные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ)!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного построения программных комплексов и контроля состояния защищенности программно-аппаратного обеспечения, телекоммуникационных устройств и сетей на всем протяжении жизненного цикла ИС.

Экономическая и информационная безопасность. Составляющие информационной безопасности

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы и сети? Как поддерживать режим безопасности информации в системах и сетях? Бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему - национальном, корпоративном или персональном.

Необходимость реализации, сопровождения и развития систем ИБ - это оборотная сторона широкого использования информационных технологий, так как наступление нового этапа развития ИТ закономерно приводит к быстрому падению уровня информационной безопасности (рис. 1.1).


Рис. 1.1.

Отметим ещё одну существенную - можно сказать парадоксальную - особенность развития информационных технологий: технологии постоянно усложняются, однако квалификация нарушителей и злоумышленников понижается (рис. 1.2). Это происходит оттого, что новые средства создания программного кода и сетевые технологии изначально строятся так, чтобы они были доступны пользователям, не обладающим высокой профессиональной подготовкой.


Рис. 1.2.

В "Доктрине информационной безопасности Российской Федерации" защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного - федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты;
  • административного - действия общего и специального характера, предпринимаемые руководством организации;
  • процедурного - меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом предприятия;
  • научно-технического - конкретные методики, программно-аппаратные, технологические и технические меры.

Главными принципами обеспечения безопасности в соответствии с законом РФ "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта можно определить как "защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера" [Грунин О. А., Грунин С. О., 2002].

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ № 608 от 29 апреля 1996 г.;
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ № 24 от 10 января 2000 г.

Исходя из необходимости достижения целей обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления:

  • организацию эффективной защиты материальной, финансовой и интеллектуальной собственности,
  • защиту информационных ресурсов предприятия,
  • эффективное управление ресурсами и персоналом.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток - открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.рис. 1.3

  • конфиденциальность - засекреченная информация должна быть доступна только тому, кому она предназначена: такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступность (готовность) - это возможность за приемлемое время получить требуемую информационную услугу: данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

    • Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

    • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access - UAA);
    • искажение, частичную или полную утрату конфиденциальной информации;
    • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
    • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

    Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

    Доступность – возможность получения информации за приемлемое время лицами, процессами или системами, имеющими на это право.

    Считается, что доступность информации является важнейшим элементом информационной безопасности: информационные системы (ИС) создаются для получения информационных услуг, а если предоставить услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений.

    Целостность – актуальность и непротиворечивость информации, защищенность от разрушения и несанкционированного изменения.

    Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

    Конфиденциальность – защищенность от несанкционированного доступа к информации.

    Аспект конфиденциальность считается наиболее проработанным в РФ

    Существует 3 вида возможных нарушений ИС: нарушение целостности, доступности и конфиденциальности информации.

    Нарушения доступности информации могут быть связаны со следующими факторами: отказы пользователей, внутренние отказы, отказ поддерживающей инфраструктуры. К отказам пользователей относятся: нежелание работать в силу несоответствия запросов пользователей с фактическими характеристиками системы и по др. причинам, невозможность работать в силу отсутствия соответствующей подготовки или отсутствия технической поддержки. Основными источниками внутренних отказов являются: случайное или умышленное отступление от правил эксплуатации, ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры. Отказы поддерживающей инфраструктуры предполагают случайное или умышленное нарушение работы систем связи, электропитания, тепло- и водоснабжения; разрушение или повреждение помещений и т.п.

    Нарушения целостности информации предполагают нарушение статической и динамической целостности. Статическая целостность может быть нарушена путем ввода неверных данных или изменения данных. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочивание, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

    Конфиденциальность данных может быть нарушена путем перехвата данных (передаваемых в разговоре, в письме, по сети), атак (в т.ч. подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), методы морально-психологического воздействия (напр., маскарад – выполнение действий под видом лица, обладающего полномочиями, для доступа к данным). Также, конфиденциальность информации может быть нарушена в результате злоупотребления полномочиями (напр., системный администратор способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д.).