СОДЕРЖАНИЕ
Введение
Глава 1 Теоретическое исследование
1.1. История и Государственнаяполитика в области информационной безопасности
1.2. Проблемы информационнойбезопасности и борьба с терроризмом. Угрозы и их показатели.
1.3. Методика реализации политикибезопасности
1.4. Стандарты безопасностиГостехкомиссии. Стандарты Европы и США
1.5. Стеганография и ее применениев информационной безопасности
1.6. Классы информационнойбезопасности
1.7. Информационная безопасность РоссийскойФедерации
Приложение
Вывод
Литература
/>/>/>/>ВВЕДЕНИЕ
Вопросы информационной безопасности играют сегодня огромнуюроль в сфере высоких технологий, где именно информация (особенно цифровая)становится одновременно «продуктом и сырьём». Огромный мегаполис IT построен навсемирных реках данных из разных точек планеты. Её производят, обрабатывают,продают и, к сожалению, зачастую воруют.
Говоряоб информационной безопасности, в настоящее время имеют в виду, собственноговоря, безопасность компьютерную. Действительно, информация, находящаяся наэлектронных носителях играет все большую роль в жизни современного общества.Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы,многоточечность и возможная анонимность доступа, возможность«информационных диверсий»… Все это делает задачу обеспечениязащищенности информации, размещенной в компьютерной среде, гораздо болеесложной проблемой, чем, скажем, сохранение тайны традиционной почтовойпереписки.
Еслиговорить о безопасности информации, сохраняющейся на «традиционных»носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигаетсясоблюдением мер физической защиты (т.е. защиты от несанкционированногопроникновения в зону хранения носителей). Другие аспекты защиты такойинформации связаны со стихийными бедствиями и техногенными катастрофами. Такимобразом, понятие «компьютерной» информационной безопасности в целомявляется более широким по сравнению с информационной безопасностью относительно«традиционных» носителей.
Если говорить о различиях в подходах к решению проблемыинформационной безопасности на различных уровнях (государственном,региональном, уровне одной организации), то такие различия просто несуществуют. Подход к обеспечению безопасности Государственнойавтоматизированной системы «Выборы» не отличается от подхода кобеспечению безопасности локальной сети в маленькой фирме.
Потому жизненно необходимы методы защиты информации длялюбого человека современной цивилизации, особенно использующего компьютер. Поэтой причине практически любой пользователь ПК в мире так или иначе «подкован»в вопросах борьбы с вирусами, «троянскими конями» и другими вредоноснымипрограммами, а также личностями стоящими за их созданием и распространением —взломщиками, спамерами, крэкерами, вирусмэйкерами (создателями вирусов) ипросто мошенниками, обманывающих людей в поисках наживы — корпоративной информации,стоящей немалых денег.
Причём последние зачастую осуществляют задуманное рукамисвоих жертв. А потому «технические» и «физические» методы защиты информациидолжны совмещаться с образованием пользователей в области компьютерныхтехнологий и в частности компьютерной безопасности.
Одними из первых эти проблемы осознали и предпринялирешительный шаг к их решению государственные ведомства США в конце 60-х годов,когда компьютеры стоили сотни тысяч долларов, а интернет зарождался изнемногочисленных чисто военных и научных сетей.
Невозможно переоценитьроль Средств Массовой Информации в их влиянии на формирование илидеформирование институтов общества. Современный уровень таких наук, каксоциология и социальная психология в соединении с различными видами искусств,управляемых законами рекламы и маркетинга, позволяет использовать слово, кино-и видеоизображение в качестве новых инструментов управления. Завоеванияновейшей демократии – свобода слова и плюрализм мнений, к сожалению, не могутпослужить преградой Силам, желающим использовать эти свободы в своекорыстных интересах,обращенных во зло обществу.
Каждое человеческое общество имеет общую систему ценностей, обусловленную историей и менталитетом страны, нации. Эта система ценностей выработана опытом предшествующих поколений и представляет собой наиболее целесообразный, успешный способ существования, обеспечивающий интеграцию различных слоев общества. Для России это — христианские, православные моральные ценности. Все проблемы, встающие перед обществом, решаются в контексте этих ценностей. Их разрушение ведет к аномии, возникающей в эпохи крушения, моральному коллапсу, дезинтегрирующему социум.
До последнеговремени проблема обеспечения безопасности компьютерной информации в нашейстране не только не выдвигалась на передний край, но фактически полностьюигнорировалась. Считалось, что путем тотальной секретности, различнымиограничениями в сфере передачи и распространения информации, можно решитьпроблему обеспечения информационной безопасности.
Существуют,так называемые, правовые меры обеспечения информационной безопасности. Кним относится регламентация законом и нормативными актами действий синформацией и оборудованием, и наступление ответственности за нарушениеправильности таких действий.
Цель исследования:определить существует ли в природе система, которая защитит информацию отвзлома.
Задачи исследования:
· Определить, защищенностьинформации от взлома.
· Выявить проблемыинформационной безопасности.
· Рассмотреть видыинформационной безопасности.
Объектом исследования является информационнаябезопасность.
Предметом исследования являются проблемы информационнойбезопасности, законы, регулирующие информационную безопасность, угрозы и ихпоказатели, стандарты безопасности и применение.
/>/>/>Глава 1 Теоретическое исследование
/>/>/>/>1.1. История и Государственная политика в области информационнойбезопасности
При объединении и синхронизации вышеупомянутых сетей островстал вопрос защиты «от шпионов» секретной государственной информации, особенноучитывая то насколько легко и быстро можно скопировать информацию в цифровомвиде.
В 1967 под патронажем Национального Комитета Стандартов былаучреждена Инициативная Группа исследователей по вопросам компьютернойбезопасности, в которую вошли представители университетов, компаний попроизводству компьютеров, научно-исследовательских центров и других организаций.
Результатом объединения усилий промышленных и научныхспециалистов, множества теоретических исследований в широкой области математики— теории информации, а также огромного опыта в реальной индустрии, оказалась«радужная серия» — ряд стандартов и требований предъявляемых к оборудованию,программному обеспечению и персоналу так называемых систем автоматическойобработки данных — компьютерных сетей, принадлежавших таким гос. структурам СШАкак: NASA, Министерство Обороны, Национальный комитет стандартов, МинистерствоТруда, Отдел по охране окружающей среды, Министерство по контролю завооружением, Национальное научное общество, Федеральная резервная система инаконец Центр Объединенного Командования ВС.
Был даже создан Национальный Центр Компьютерной Безопасности,занимавшийся этими вопросами.
А в 1981 был создан подобный центр при Министерстве Обороны,разработавший и внедривший «радужную серию» в 1985 году. Наиболее значимым дляистории в силу своей общности и направленности не только на сугубо внутренниецели, но и на некую оценку качества коммерческих продуктов так или иначеобрабатывающих и хранящих конфиденциально важную информацию, стал стандарт«Критерии оценки доверенных компьютерных систем», названный Оранжевой книгой всилу цвета обложки (кстати говоря, оранжевую обложку имеет не только этотмировой стандарт — по меньшей мере спецификации на лазерный аудиодиск и нашейдерную модель OpenGL называют оранжевыми книгами). Её целью былимаксимальная гибкость и универсальность оценки безопасности.
Системы безопасностипоявились, чтобы защитить её от шпионом и от других взломов.
Информационнаябезопасность -состояние защищенности информационной средыобщества, обеспечивающее ее формирование, использование и развитие в интересахграждан, организаций, государства.
Подинформационной безопасностью РоссийскойФедерации понимаетсясостояние защищенности ее национальных интересов в информационной сфере,определяющихся совокупностью сбалансированных интересов личности, общества игосударства.
Поднациональными интересами Российской Федерации понимается:
· Информационноеобслуживание руководства
· Сохранностьинфраструктуры
· Развитиеинформационных средств
· Защита правчеловека в информационной сфере
· Защита прав начастную информацию
· Защита баз данных
· Достоверностьпередаваемой информации
На основенациональных интересов Российской Федерации в информационной сфере формируютсястратегические и текущие задачи внутренней и внешней политики государства пообеспечению информационной безопасности.
Государственная политика обеспеченияинформационной безопасности Российской Федерации определяет основные направлениядеятельности федеральных органов государственной власти и органовгосударственной власти субъектов Российской Федерации в этой области, порядокзакрепления их обязанностей и ответственности за защищенность интересовРоссийской Федерации в информационной сфере в рамках закрепленных за ними направленийдеятельности и базируется на соблюдении баланса интересов личности, общества игосударства в информационной сфере.
Государственнаяполитика Российской Федерации в области информационной безопасности основывается на следующих принципах:
· Федеральнаяпрограмма ИБ
· Нормативно-правоваябаза
· Регламентация доступа к информации
· Юридическаяответственность за сохранность информации
· Контроль заразработкой и использованием средств защиты информации
· Предоставлениегражданам доступа к мировым информационным системам
Государство впроцессе реализации своих функций по обеспечению информационной безопасности РоссийскойФедерации:
· проводитобъективный и всесторонний анализ и прогнозирование угроз информационнойбезопасности Российской Федерации, разрабатывает меры по ее обеспечению;
· организует работузаконодательных (представительных) и исполнительных органов государственнойвласти Российской Федерации по реализации комплекса мер, направленных напредотвращение, отражение и нейтрализацию угроз информационной безопасностиРоссийской Федерации;
· поддерживаетдеятельность общественных объединений, направленную на объективноеинформирование населения о социально значимых явлениях общественной жизни,защиту общества от искаженной и недостоверной информации;
· осуществляетконтроль за разработкой, созданием, развитием, использованием, экспортом иимпортом средств защиты информации посредством их сертификации и лицензированиядеятельности в области защиты информации;
· проводитнеобходимую протекционистскую политику в отношении производителей средствинформатизации и защиты информации на территории Российской Федерации ипринимает меры по защите внутреннего рынка от проникновения на негонекачественных средств информатизации и информационных продуктов;
· способствуетпредоставлению физическим и юридическим лицам доступа к мировым информационнымресурсам, глобальным информационным сетям;
· формулирует иреализует государственную информационную политику России;
· организуетразработку федеральной программы обеспечения информационной безопасностиРоссийской Федерации, объединяющей усилия государственных и негосударственныхорганизаций в данной области;
· способствуетинтернационализации глобальных информационных сетей и систем, а также вхождениюРоссии в мировое информационное сообщество на условиях равноправногопартнерства.
Совершенствованиеправовых механизмов регулирования общественных отношений, возникающих винформационной сфере, является приоритетным направлением государственнойполитики в области обеспечения информационной безопасности РоссийскойФедерации.
Политика государствазаключается в том, чтобы защитить информацию в информационной сфере,определяющихся совокупностью сбалансированных интересов личности, общества игосударства./>/>/>/>1.2. Проблемы информационной безопасностии борьба с терроризмом. Угрозы и их показатели
Широкое внедрениеинформационных технологий в жизнь современного общества привело к появлениюряда общих проблем информационной безопасности:
— необходимогарантировать непрерывность и корректность функционирования важнейшихинформационных систем (ИС), обеспечивающих безопасность людей и экологическойобстановки;
— необходимообеспечить защиту имущественных прав граждан, предприятий и государства всоответствии с требованиями гражданского, административного и хозяйственногоправа (включая защиту секретов и интеллектуальной собственности);
— необходимозащитить гражданские права и свободы, гарантированные действующимзаконодательством (включая право на доступ к информации).
Следует знать, что любаяинформационная система потенциально уязвима. И эта уязвимость по отношению кслучайным и предумышленным отрицательным воздействиям выдвинула проблемыинформационной безопасности в разряд важнейших, определяющих принципиальнуювозможность и эффективность применения ряда ИС в гражданских и военныхотраслях.
Основная работа поснижению дестабилизирующих факторов в области информационной безопасности — раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы ипредставить основные методы, способные значительно повысить защищенность ИС.Эта проблема в значительной степени решается посредством методов, средств истандартов, поддерживающих системный анализ, технологию разработки и сопровожденияпрограммных систем (ПС) и баз данных (БД). Для достижения поставленной цели внеобходимо рассмотреть исходные данные и факторы, определяющие технологическуюбезопасность сложных информационных систем:
— показатели,характеризующие технологическую безопасность информационных систем;
— требования,предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;
— ресурсы,необходимые для обеспечения технологической безопасности ИС;
— внутренние ивнешние дестабилизирующие факторы, влияющие на безопасность функционированияпрограммных средств и баз данных;
— методы и средствапредотвращения и снижения влияния угроз безопасности ИС со стороны дефектовпрограмм и данных;
— оперативныеметоды и средства повышения технологической безопасности функционирования ПС иБД путем введения в ИС временной, программной и информационной избыточности;
— методы и средстваопределения реальной технологической безопасности функционирования критическихИС.
Основываясь на полученныхданных необходимо выработать стратегию и тактику направленную на уменьшениефакторов способных вызвать те или иные деструктивные последствия.
Проблема информационнойбезопасности заключается в том, что любую систему можно взломать.
Терроризм, как выражениекрайнего экстремизма, основанное на различного рода разногласиях (какнационального, так и транснационального масштаба) в политике, экономике, нарелигиозной или криминальной почве, обсуждается и осуждается давно. Присовременном уровне развития высоких технологий расширяются возможности ихиспользования для совершения террористических действий. Во многих странахсегодня ведется активная работа по анализу потенциальных возможностей подобныхпроявлений и выработке мер по борьбе с этим злом.
Терроризм — совокупностьпротивоправных действий, связанных с покушениями на жизнь людей, угрозамирасправ, деструктивными действиями в отношении материальных объектов,искажением объективной информации или рядом других действий, способствующихнагнетанию страха и напряженности в обществе с целью получения преимуществ прирешении политических, экономических или социальных проблем.
Направленияпротивоправных, злоумышленных действий на сетевой среде с целью использованияих результатов для проведения террористических актов можно представить в видеследующих:
· Разрушениеинфраструктуры сети корпоративного, национального или транснациональногомасштаба посредством вывода из строя системы управления ею или отдельныхподсистем.
· Несанкционированный(неправомерный) доступ к сетевой информации, охраняемой законом и носящейвысокий уровень секретности, нарушение ее целостности, конструктивнойуправляемости и защищенности.
Следует отличатьтеррористические действия от действий террористов с использованием сетевыхресурсов (в том числе собственных в Интернет) в целях пропаганды своихвзглядов, нагнетания обстановки страха, напряженности и т. д.
Ущерб от террористическихдействий на сетевой среде связан:
· с человеческимижертвами или материальными потерями, вызванными деструктивным использованиемэлементов сетевой инфраструктуры;
· с возможнымипотерями (в том числе гибелью людей) от несанкционированного использованияинформации с высоким уровнем секретности или сетевой инфраструктуры управленияв жизненно важных (критических) для государства сферах деятельности;
· с затратами навосстановление управляемости сети, вызванными действиями по ее разрушению илиповреждению;
· с моральнымущербом как владельца сетевой инфраструктуры, так и собственногоинформационного ресурса;
· с другимивозможными потерями от несанкционированного использования информации с высокимуровнем секретности.
Отличие подходов кпредотвращению и реагированию на действия в случае террористического характерацелей от других противоправных действий в сетях общего пользования связано сболее высоким уровнем требований к безопасности систем, обусловленных ихназначением, целями и средой безопасности, и, соответственно, величинойиздержек от подобных злоумышленных действий.
В качестве понятия,интегрирующего противодействия кибертерроризму, рассмотрим антитеррористическуюинформационную безопасность с тем, чтобы подчеркнуть отличие от традиционнойинформационной безопасности.
Антитеррористическаяинформационная безопасность — совокупность механизмов, инструментальныхсредств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а вслучае обнаружения, — оперативно реагировать на действия, способные привести:
· к разрушениюинфраструктуры сети посредством вывода из строя системы управления ею илиотдельных ее элементов;
· к несанкционированномудоступу к информации, охраняемой законом и носящей высокий уровень секретности,нарушению ее целостности, конструктивной управляемости и защищенности.
Основаантитеррористических действий с использованием сетевой среды — традиционнаяинформационная безопасность, ее методология, модели, механизмы иинструментальные средства. Разработка, построение и сопровождение системинформационной безопасности для отдельных продуктов, изделий и комплексов насетевой среде, особенно на сетях пакетной коммутации и Интернет, — сложная,многоплановая задача.
Антитеррористическаяинформационная безопасность является важным пунктом в информационнойбезопасности и ему уделяется особое значение.
Угроза безопасностиинформации— совокупность условий и факторов, создающихпотенциальную или реально существующую опасность, связанную с утечкойинформации и/или несанкционированными и/или непреднамеренными воздействиями нанее.
По способам воздействияна объекты информационной безопасности угрозы подлежат следующей классификации:информационные, программные, физические, радиоэлектронные иорганизационно-правовые.
К информационным угрозамотносятся:
· несанкционированныйдоступ к информационным ресурсам;
· незаконноекопирование данных в информационных системах;
· хищение информациииз библиотек, архивов, банков и баз данных;
· нарушениетехнологии обработки информации;
· противозаконныйсбор и использование информации;
· использованиеинформационного оружия.
К программным угрозамотносятся:
· использованиеошибок и «дыр» в ПО;
· компьютерныевирусы и вредоносные программы;
· установка«закладных» устройств;
К физическим угрозамотносятся:
· уничтожение илиразрушение средств обработки информации и связи;
· хищение носителейинформации;
· хищениепрограммных или аппаратных ключей и средств криптографической защиты данных;
· воздействие наперсонал;
К радиоэлектроннымугрозам относятся:
· внедрениеэлектронных устройств перехвата информации в технические средства и помещения;
· перехват,расшифровка, подмена и уничтожение информации в каналах связи.
К организационно-правовымугрозам относятся:
· закупкинесовершенных или устаревших информационных технологий и средствинформатизации;
· нарушениетребований законодательства и задержка в принятии необходимых нормативно-правовыхрешений в информационной сфере.
Словарь терминовГостехкомиссии определяет понятие угроз национальной безопасности России винформационной сфере следующим образом:
Угрозаминациональной безопасности России в информационной сфере являются:
· стремление рядастран к доминированию в мировом информационном пространстве, вытеснению Россиис внешнего и внутреннего информационного рынка;
· разработка рядомгосударств концепции информационных войн, предусматривающей создание средствопасного воздействия на информационные сферы других стран мира; нарушениенормального функционирования информационных и телекоммуникационных систем; атакже сохранности информационных ресурсов, получения несанкционированногодоступа к ним.
К мерампротиводействия указанным угрозам необходимо отнести:
· постановку ипроведение научных исследований, направленных на получение методик исследованияпрограммного обеспечения и выявления закладных устройств;
· развитиеотечественной индустрии в области создания и производства оборудованияэлементов телекоммуникационных систем;
· минимизацию числаиностранных фирм — поставщиков;
· координациюдействий по проверке надежности указанных фирм;
· уменьшениюноменклатуры поставляемого оборудования;
· переходу отпоставок оборудования к поставкам комплектующих на элементарном уровне;
· установлениюприоритета в использовании отечественных средств защиты этих систем.
Существуетмного видов угроз./>/>/>/>1.3. Методика реализации политики безопасности
Первоочереднымимероприятиями по реализации государственной политики обеспечения информационнойбезопасности Российской Федерации являются:
· разработка ивнедрение механизмов реализации правовых норм, регулирующих отношения винформационной сфере, а также подготовка концепции правового обеспеченияинформационной безопасности Российской Федерации;
· разработка иреализация механизмов повышения эффективности государственного руководствадеятельностью государственных средств массовой информации, осуществлениягосударственной информационной политики;
· принятие иреализация федеральных программ, предусматривающих формирование общедоступныхархивов информационных ресурсов федеральных органов государственной власти иорганов государственной власти субъектов Российской Федерации, повышениеправовой культуры и компьютерной грамотности граждан, развитие инфраструктурыединого информационного пространства России, комплексное противодействиеугрозам информационной войны, создание безопасных информационных технологий длясистем, используемых в процессе реализации жизненно важных функций общества игосударства, пресечение компьютерной преступности, созданиеинформационно-телекоммуникационной системы специального назначения в интересахфедеральных органов государственной власти и органов государственной властисубъектов Российской Федерации, обеспечение технологической независимостистраны в области создания и эксплуатации информационно-телекоммуникационныхсистем оборонного назначения;
· развитие системыподготовки кадров, используемых в области обеспечения информационнойбезопасности Российской Федерации;
· гармонизацияотечественных стандартов в области информатизации и обеспечения информационнойбезопасности автоматизированных систем управления, информационных ителекоммуникационных систем общего и специального назначения.
Такжесуществует система обеспечения информационной безопасности РоссийскойФедерации. Она предназначена для реализации государственной политики в даннойсфере.
Основнымифункциями системы обеспечения информационной безопасности Российской Федерацииявляются:
· разработканормативной правовой базы в области обеспечения информационной безопасностиРоссийской Федерации;
· создание условийдля реализации прав граждан и общественных объединений на разрешенную закономдеятельность в информационной сфере;
· определение иподдержание баланса между потребностью граждан, общества и государства всвободном обмене информацией и необходимыми ограничениями на распространениеинформации;
· оценка состоянияинформационной безопасности Российской Федерации, выявление источниковвнутренних и внешних угроз информационной безопасности, определениеприоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
· координациядеятельности федеральных органов государственной власти и другихгосударственных органов, решающих задачи обеспечения информационнойбезопасности Российской Федерации;
· предупреждение,выявление и пресечение правонарушений, связанных с посягательствами на законныеинтересы граждан, общества и государства в информационной сфере, наосуществление судопроизводства по делам о преступлениях в этой области;
· развитиеотечественной информационной инфраструктуры, а также индустриителекоммуникационных и информационных средств, повышение ихконкурентоспособности на внутреннем и внешнем рынке;
· проведение единойтехнической политики в области обеспечения информационной безопасностиРоссийской Федерации;
· организация фундаментальныхи прикладных научных исследований в области обеспечения информационнойбезопасности Российской Федерации;
· защитагосударственных информационных ресурсов, прежде всего в федеральных органахгосударственной власти и органах государственной власти субъектов РоссийскойФедерации, на предприятиях оборонного комплекса;
· обеспечениеконтроля за созданием и использованием средств защиты информации посредствомобязательного лицензирования деятельности в данной сфере и сертификации средствзащиты информации;
· осуществлениемеждународного сотрудничества в сфере обеспечения информационной безопасности,представление интересов Российской Федерации в соответствующих международныхорганизациях.
Компетенцияфедеральных органов государственной власти, органов государственной властисубъектов Российской Федерации, других государственных органов, входящих всостав системы обеспечения информационной безопасности Российской Федерации иее подсистем, определяется федеральными законами, нормативными правовыми актамиПрезидента Российской Федерации и Правительства Российской Федерации.
Функции органов,координирующих деятельность федеральных органов государственной власти, органовгосударственной власти субъектов Российской Федерации, другихгосударственных органов, входящих в состав системы обеспечения информационнойбезопасности Российской Федерации и ее подсистем, определяются отдельныминормативными правовыми актами Российской Федерации.
Информационнаябезопасность Российской Федерации затрагивает все сферы общественной жизни./>/>/>/>1.4. Стандарты безопасности Гостехкомиссии. Стандарты Европыи США
РД Гостехкомиссии Россиисоставляют основу нормативной базы в области защиты от НСД к информации в нашейстране. Наиболее значимые из них, определяющие критерии для оценки защищенностиАС (СВТ), рассматриваются ниже.
Критерии для оценкимеханизмов защиты программно-технического уровня, используемые при анализезащищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. Защита от НСДк информации. Классификация АС и требования по защите информации» и«СВТ. Защита от НСД к информации. Показатели защищенности от НСД кинформации».
РД «СВТ.Защита от НСД к информации. Показатели защищенности от НСД к информации»
РД «СВТ. Защита отНСД к информации. Показатели защищенности от НСД к информации»устанавливает классификацию СВТ по уровню защищенности от НСД к информации набазе перечня показателей защищенности и совокупности описывающих их требований.(Основным «источником вдохновения» при разработке этого документапослужила знаменитая американская «Оранжевая книга»). Устанавливаетсясемь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой,самый высокий — первый. Классы подразделяются на четыре группы, отличающиесяуровнем защиты:
Первая группа содержит только один седьмой класс,к которому относят все СВТ, не удовлетворяющие требованиям более высокихклассов;
Вторая группа характеризуется дискреционнойзащитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой исодержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированнойзащитой содержит только первый класс.
РД «АС. Защитаот НСД к информации. Классификация АС и требования по защите информации»
РД «АС. Защита отНСД к информации. Классификация АС и требования по защите информации»устанавливает классификацию автоматизированных систем, подлежащих защите отнесанкционированного доступа к информации, и требования по защите информации вАС различных классов. К числу определяющих признаков, по которым производитсягруппировка АС в различные классы, относятся:
· наличие в АСинформации различного уровня конфиденциальности;
· уровеньполномочий субъектов доступа АС на доступ к конфиденциальной информации;
· режим обработкиданных в АС — коллективный или индивидуальный.
Устанавливается девятьклассов защищенности АС от НСД к информации. Каждый класс характеризуетсяопределенной минимальной совокупностью требований по защите. Классыподразделяются на три группы, отличающиеся особенностями обработки информации вАС. В пределах каждой группы соблюдается иерархия требований по защите взависимости от ценности и конфиденциальности информации и, следовательно,иерархия классов защищенности АС.
РД «СВТ.Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД кинформации»
При анализе системызащиты внешнего периметра корпоративной сети в качестве основных критериевцелесообразно использовать РД «СВТ. Межсетевые экраны. Защита от НСД кинформации. Показатели защищенности от НСД к информации». Данный документопределяет показатели защищенности межсетевых экранов (МЭ). Каждый показательзащищенности представляет собой набор требований безопасности, характеризующихопределенную область функционирования МЭ. Всего выделяется пять показателейзащищенности:
· Управлениедоступом;
· Идентификация иаутентификация;
· Регистрациясобытий и оповещение;
· Контрольцелостности;
· Восстановлениеработоспособности.
На основании показателейзащищенности определяются следующие пять классов защищенности МЭ:
· Простейшиефильтрующие маршрутизаторы — 5 класс;
· Пакетные фильтрысетевого уровня — 4 класс;
· Простейшие МЭприкладного уровня — 3 класс;
· МЭ базовогоуровня — 2 класс;
· Продвинутые МЭ — 1 класс.
МЭ первого классазащищенности могут использоваться в АС класса 1А, обрабатывающих информацию«Особой важности». Второму классу защищенности МЭ соответствует классзащищенности АС 1Б, предназначенный для обработки «совершенносекретной» информации и т.п.
Также к стандартам Россиив области информационной безопасности относятся:
· Гост 28147-89 –блочный шифр с 256-битным ключом;
· Гост Р 34.11-94–функция хэширования;
· Гост Р 34.10-94–алгоритм цифровой подписи.
Существует много защитинформационной безопасности.
/>/>/>Европейскиестандартыбезопасности
ISO 15408: Common Criteria for Information TechnologySecurity Evaluation
Наиболееполно критерии для оценки механизмов безопасности программно-техническогоуровня представлены в международном стандарте ISO 15408: Common Criteria forInformation Technology Security Evaluation (Общие критерии оценки безопасностиинформационных технологий), принятом в 1999 году.
Общиекритерии оценки безопасности информационных технологий (далее «Общиекритерии») определяют функциональные требования безопасности (securityfunctional requirements) и требования к адекватности реализации функцийбезопасности (security assurance requirements).
Хотяприменимость «Общих критериев» ограничивается механизмамибезопасности программно-технического уровня, в них содержится определенныйнабор требований к механизмам безопасности организационного уровня и требованийпо физической защите, которые непосредственно связаны с описываемыми функциямибезопасности.
Перваячасть «Общих критериев» содержит определение общих понятий,концепции, описание модели и методики проведения оценки безопасности ИТ. В нейвводится понятийный аппарат, и определяются принципы формализации предметнойобласти.
Требованияк функциональности средств защиты приводятся во второй части «Общихкритериев» и могут быть непосредственно использованы при анализе защищенностидля оценки полноты реализованных в АС (СВТ) функций безопасности.
Третьячасть «Общих критериев» содержит классы требований гарантированностиоценки, включая класс требований по анализу уязвимостей средств и механизмовзащиты под названием AVA: Vulnerability Assessment. Данный класс требованийопределяет методы, которые должны использоваться для предупреждения, выявленияи ликвидации следующих типов уязвимостей:
· Наличие побочныхканалов утечки информации;
· Ошибки вконфигурации либо неправильное использование системы, приводящее к переходу внебезопасное состояние;
· Недостаточнаянадежность (стойкость) механизмов безопасности, реализующих соответствующиефункции безопасности;
· Наличиеуязвимостей («дыр») в средствах защиты информации, дающих возможностьпользователям получать НСД к информации в обход существующих механизмов защиты.
ISO 17799: Code of Practice for Information SecurityManagement
Наиболееполно критерии для оценки механизмов безопасности организационного уровняпредставлены в международном стандарте ISO 17799: Code of Practice forInformation Security Management (Практические правила управления информационнойбезопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, какмеждународной версией британского стандарта BS 7799.
ISO17799 содержит практические правила по управлению информационной безопасностьюи может использоваться в качестве критериев для оценки механизмов безопасностиорганизационного уровня, включая административные, процедурные и физическиемеры защиты.
Практическиеправила разбиты на следующие 10 разделов:
· Политикабезопасности;
· Организациязащиты;
· Классификацияресурсов и их контроль;
· Безопасностьперсонала;
· Физическаябезопасность;
· Администрированиекомпьютерных систем и вычислительных сетей;
· Управлениедоступом;
· Разработка исопровождение информационных систем;
· Планированиебесперебойной работы организации;
· Контрольвыполнения требований политики безопасности.
Вэтих разделах содержится описание механизмов безопасности организационногоуровня, реализуемых в настоящее время в правительственных и коммерческихорганизациях во многих странах мира.
Десятьсредств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые),считаются особенно важными. Под средствами контроля в данном контекстепонимаются механизмы управления информационной безопасностью организации.
Ключевымиявляются следующие средства контроля:
· Документ ополитике информационной безопасности;
· Распределениеобязанностей по обеспечению информационной безопасности;
· Обучение иподготовка персонала к поддержанию режима информационной безопасности;
· Уведомление ослучаях нарушения защиты;
· Средства защитыот вирусов;
· Планированиебесперебойной работы организации;
· Контроль надкопированием программного обеспечения, защищенного законом об авторском праве;
· Защитадокументации организации;
· Защита данных;
· Контрольсоответствия политике безопасности.
Процедурааудита безопасности АС включает в себя проверку наличия перечисленных ключевыхсредств контроля, оценку полноты и правильности их реализации, а также анализих адекватности рискам, существующим в данной среде функционирования. Составнойчастью работ по аудиту безопасности АС также является анализ и управлениерисками.
/>/>/>Стандартыбезопасности США
«Оранжеваякнига „
“Departmentof Defense Trusted Computer System Evaluation Criteria»
OK принята стандартом в1985 г. Министерством обороны США (DOD). Полное
название документа «Department of Defense Trusted Computer SystemEvaluation Criteria».
OK предназначается дляследующих целей:
· Предоставитьпроизводителям стандарт, устанавливающий, какими средствами безопасностиследует оснащать свои новые и планируемые продукты, чтобы поставлять на рынокдоступные системы, удовлетворяющие требованиям гарантированной защищенности(имея в виду, прежде всего, защиту от раскрытия данных) для использования приобработке ценной информации;
· Предоставить DODметрику для военной приемки и оценки защищенности ЭСОД, предназначенных дляобработки служебной и другой ценной информации;
· Обеспечить базудля исследования требований к выбору защищенных систем.
Рассматривают два типаоценки:
· без учета среды,в которой работает техника;
· в конкретнойсреде (эта процедура называется аттестованием).
Во всех документах DOD,связанных с ОК, принято одно понимание фразы обеспечение безопасностиинформации. Это понимание принимается как аксиома и формулируется следующимобразом: безопасность = контроль за доступом.
Классы систем,распознаваемые при помощи критериев оценки гарантированно защищенныхвычислительных систем, определяются следующим образом. Они представлены впорядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
1. Класс (D):Минимальная защита
2. Класс (C1):Защита, основанная на разграничении доступа (DAC)
3. Класс (С2):Защита, основанная на управляемом контроле доступом
4. Класс(B1):Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимсяпод контролем ТСВ
5. Класс (B2):Структурированная защита
6. Класс (ВЗ):Домены безопасности
7. Класс (A1):Верифицированный проект
FIPS140-2«Требования безопасности для криптографических модулей»
В федеральном стандартеСША FIPS 140-2 «Требования безопасности для криптографическихмодулей» под криптографическим модулем понимается набор аппаратных и/илипрограммных (в том числе встроенных) компонентов, реализующих утвержденныефункции безопасности (включая криптографические алгоритмы, генерацию ираспределение криптографических ключей, аутентификацию) и заключенных впределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2рассматриваются криптографические модули, предназначенные для защиты информацииограниченного доступа, не являющейся секретной. То есть речь идет опромышленных изделиях, представляющих интерес для основной массы организаций.Наличие подобного модуля — необходимое условие обеспечения защищенностисколько-нибудь развитой информационной системы; однако, чтобы выполнятьпредназначенную ему роль, сам модуль также нуждается в защите, как собственнымисредствами, так и средствами окружения (например, операционной системы).
Стандарт шифрованияDES
Также к стандартаминформационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-хгодах, и который базируется на алгоритме DEA.
Исходные идеи алгоритмашифрования данных DEA (data encryption algorithm) были предложены компанией IBMеще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-хгодах. Первоначально эта методика шифрования называлась lucifer (разработчикХорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первымблочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовыйключ. По существу этот алгоритм являлся прототипом DEA./>/>/>/>1.5. Стеганография и ее применение в информационной безопасности
Задачанадежной защиты информации от несанкционированного доступа является одной издревнейших и не решенных до настоящего времени проблем. Способы и методыскрытия секретных сообщений известны с давних времен, причем, данная сферачеловеческой деятельности получила названиестеганография. Это словопроисходит от греческих слов steganos (секрет, тайна) и graphy (запись) и,таким образом, означает буквально “тайнопись”, хотя методы стеганографиипоявились, вероятно, раньше, чем появилась сама письменность (первоначальноиспользовались условные знаки и обозначения).
Компьютерныетехнологии придали новый импульс развитию и совершенствованию стеганографии,появилось новое направление в области защиты информации — компьютернаястеганография (КС).
К. Шеннон далнам общую теорию тайнописи, которая является базисом стеганографии как науки. Всовременной компьютерной стеганографии существует два основных типа файлов:сообщение — файл, который предназначен для скрытия, и контейнер — файл, которыйможет быть использован для скрытия в нем сообщения. При этом контейнеры бываютдвух типов. Контейнер-оригинал (или “Пустой” контейнер) -это контейнер, которыйне содержит скрытой информации. Контейнер-результат (или “Заполненный”контейнер) — это контейнер, который содержит скрытую информацию. Под ключомпонимается секретный элемент, который определяет порядок занесения сообщения вконтейнер.
Основнымиположениями современной компьютерной стеганографии являются следующие:
1. Методы скрытиядолжны обеспечиватьаутентичность и целостность файла.
2. Предполагается,что противнику полностью известны возможные стеганографии-ческие методы.
3. Безопасностьметодов основывается насохранении стеганографическимпреобразованием основныхсвойств открыто передаваемого файла привнесении в него секретного сообщения и некоторой неизвестной противникуинформации — ключа.
4. Даже если фактскрытия сообщения стал известен противнику через сообщника, извлечение самогосекретного сообщения представляет сложную вычислительную задачу.
В связи свозрастанием роли глобальных компьютерных сетей становится все более важнымзначение стеганографии. Анализ информационных источников компьютерной сетиInternet позволяет вделать вывод, что в настоящее время стеганографическиесистемы активно используются для решения следующих основных задач:
1. Защитаконфиденциальной информации от несанкционированного доступа;
2. Преодолениесистем мониторинга и управления сетевыми ресурсами;
3. Камуфлированияпрограммного обеспечения;
4. Защита авторскогоправа на некоторые виды интеллектуальной собственности.
В настоящеевремя методы компьютерной стеганографии развиваются по двум основнымнаправлениям:
1. Методы,основанные на использовании специальных свойств компьютерных форматов;
2. Методы,основанные на избыточности аудио и визуальной информации.
Анализтенденций развития КС показывает, что в ближайшие годы интерес к развитиюметодов КС будет усиливаться всё больше и больше. Предпосылки к этому ужесформировались сегодня. В частности, общеизвестно, что актуальность проблемыинформационной безопасности постоянно растет и стимулирует поиск новых методовзащиты информации (ЗИ).
Компьютернаястеганография — компьютерная защита информации./>/>/>/>1.6. Классы информационной безопасности
Сама оценка безопасности основывается, как уже упоминалось,на иерарархической классификации. В оригинальном тексте каждый класс каждогоуровня описывается с нуля, т.е. наследуемые требования с более низких классовкаждый раз повторяются. Для сокращения далее приведены лишь различия,появляющиеся по возрастанию уровня «доверяемости». Всего введены четыре уровнядоверия — D, C, B и A, которые подразделяются на классы. Классов безопасностивсего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточениятребований).
Уровень D.
Данный уровень предназначен для систем, признанныхнеудовлетворительными — «заваливших экзамен».
Уровень C.
Иначе — произвольное управление доступом.
Класс C1
Политика безопасности и уровень гарантированности для данногокласса должны удовлетворять следующим важнейшим требованиям:
1. доверенная вычислительная база должна управлять доступомименованных пользователей к именованным объектам;
2. пользователи должны идентифицировать себя, причемаутентификационная информация должна быть защищена от несанкционированногодоступа;
3. доверенная вычислительная база должна поддерживать областьдля собственного выполнения, защищенную от внешних воздействий;
4. должны быть в наличии аппаратные или программные средства,позволяющие периодически проверять корректность функционирования аппаратных имикропрограммных компонентов доверенной вычислительной базы;
5. защитные механизмы должны быть протестированы (нетспособов обойти или разрушить средства защиты доверенной вычислительной базы);
6. должны быть описаны подход к безопасности и его применениепри реализации доверенной вычислительной базы.
Примеры продуктов: некоторые старые версии UNIX, IBM RACF.
Класс C2
(в дополнение к C1):
1. права доступа должны гранулироваться с точностью допользователя. Все объекты должны подвергаться контролю доступа.
2. при выделении хранимого объекта из пула ресурсовдоверенной вычислительной базы необходимо ликвидировать все следы егоиспользования.
3. каждый пользователь системы должен уникальным образомидентифицироваться. Каждое регистрируемое действие должно ассоциироваться сконкретным пользователем.
4. доверенная вычислительная база должна создавать,поддерживать и защищать журнал регистрационной информации, относящейся кдоступу к объектам, контролируемым базой.
5. тестирование должно подтвердить отсутствие очевидныхнедостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Примеры продуктов: практически все ныне распространенные ОС иБД —
Windows NT (а значит сюда можно отнести и все его потомкивплоть до Vista), ещё сюда бы попали все современные UNIX-системы, так же DECVMS, IBM OS/400, Novell NetWare 4.11, Oracle 7, DG AOS/VS II.
Уровень B.
Также именуется — принудительное управление доступом.
Класс B1
(в дополнение к C2):
1. доверенная вычислительная база должна управлять меткамибезопасности, ассоциируемыми с каждым субъектом и хранимым объектом.
2. доверенная вычислительная база должна обеспечитьреализацию принудительного управления доступом всех субъектов ко всем хранимымобъектам.
3. доверенная вычислительная база должна обеспечиватьвзаимную изоляцию процессов путем разделения их адресных пространств.
4. группа специалистов, полностью понимающих реализациюдоверенной вычислительной базы, должна подвергнуть описание архитектуры,исходные и объектные коды тщательному анализу и тестированию.
5. должна существовать неформальная или формальная модельполитики безопасности, поддерживаемой доверенной вычислительной базой.
Примеры продуктов: сюда относятся гораздо болееспециализированные ОСи — HP-UX BLS, Cray Research Trusted Unicos 8.0, DigitalSEVMS, Harris CS/SX, SGI Trusted IRIX.
Класс B2
(в дополнение к B1):
1. снабжаться метками должны все ресурсы системы (например,ПЗУ), прямо или косвенно доступные субъектам.
2. к доверенной вычислительной базе должен поддерживатьсядоверенный коммуникационный путь для пользователя, выполняющего операцииначальной идентификации и аутентификации.
3. должна быть предусмотрена возможность регистрации событий,связанных с организацией тайных каналов обмена с памятью.
4. доверенная вычислительная база должна быть внутреннеструктурирована на хорошо определенные, относительно независимые модули.
5. системный архитектор должен тщательно проанализироватьвозможности организации тайных каналов обмена с памятью и оценить максимальнуюпропускную способность каждого выявленного канала.
6. должна быть продемонстрирована относительная устойчивостьдоверенной вычислительной базы к попыткам проникновения.
7. модель политики безопасности должна быть формальной. Длядоверенной вычислительной базы должны существовать описательные спецификацииверхнего уровня, точно и полно определяющие ее интерфейс.
8. в процессе разработки и сопровождения довереннойвычислительной базы должна использоваться система конфигурационного управления,обеспечивающая контроль изменений в описательных спецификациях верхнего уровня,иных архитектурных данных, реализационной документации, исходных текстах, работающейверсии объектного кода, тестовых данных и документации.
9. тесты должны подтверждать действенность мер по уменьшениюпропускной способности тайных каналов передачи информации.
Примеры продуктов: Honeywell Multics (знаменитый предокUNIX),
Cryptek VSLAN, Trusted XENIX.
Класс B3
(в дополнение к B2):
1. для произвольного управления доступом должны обязательноиспользоваться списки управления доступом с указанием разрешенных режимов.
2. должна быть предусмотрена возможность регистрациипоявления или накопления событий, несущих угрозу политике безопасности системы.Администратор безопасности должен немедленно извещаться о попытках нарушенияполитики безопасности, а система, в случае продолжения попыток, должнапресекать их наименее болезненным способом.
3. доверенная вычислительная база должна быть спроектированаи структурирована таким образом, чтобы использовать полный и концептуальнопростой защитный механизм с точно определенной семантикой.
4. процедура анализа должна быть выполнена для временных тайныхканалов.
5. должна быть специфицирована роль администраторабезопасности. Получить права администратора безопасности можно только послевыполнения явных, протоколируемых действий.
6. должны существовать процедуры и/или механизмы, позволяющиепроизвести восстановление после сбоя или иного нарушения работы без ослаблениязащиты.
7. должна быть продемонстрирована устойчивость довереннойвычислительной базы к попыткам проникновения.
Примеры продуктов: единственная система —
Getronics/Wang Federal XTS-300.
Уровень A.
Носит название — верифицируемая безопасность.
Класс A1
(в дополнение к B3):
1. тестирование должно продемонстрировать, что реализациядоверенной вычислительной базы соответствует формальным спецификациям верхнегоуровня.
2. помимо описательных, должны быть представлены формальныеспецификации верхнего уровня. Необходимо использовать современные методыформальной спецификации и верификации систем.
3. механизм конфигурационного управления долженраспространяться на весь жизненный цикл(Life Cycle) и все компоненты системы,имеющие отношение к обеспечению безопасности.
4. должно быть описано соответствие между формальнымиспецификациями верхнего уровня и исходными текстами.
Примеры продуктов: Boeing MLS LAN (для создания надежныхсамолетов нужна надежная сеть), Gemini Trusted Network Processor, HoneywellSCOMP.
Существуют классы такие, как Класс C1, Класс C2, Класс B1,Класс B2, Класс B3, Класс A1.
1.7. Информационная безопасность Российской Федерации
/>/>/>/>Национальные интересы Российской Федерации винформационной сфере и их обеспечение.
Современный этапразвития общества характеризуется возрастающей ролью информационной сферы,представляющей собой совокупность информации, информационной инфраструктуры,субъектов, осуществляющих сбор, формирование, распространение и использованиеинформации, а также системы регулирования возникающих при этом общественныхотношений. Информационная сфера, являясь системообразующим фактором жизниобщества, активно влияет на состояние политической, экономической, оборонной идругих составляющих безопасности Российской Федерации. Национальнаябезопасность Российской Федерации существенным образом зависит от обеспеченияинформационной безопасности, и в ходе технического прогресса эта зависимостьбудет возрастать.
Под информационнойбезопасностью Российской Федерации понимается состояние защищенности еенациональных интересов в информационной сфере, определяющихся совокупностьюсбалансированных интересов личности, общества и государства.
Интересы личности винформационной сфере заключаются в реализации конституционных прав человека игражданина на доступ к информации, на использование информации в интересахосуществления не запрещенной законом деятельности, физического, духовного иинтеллектуального развития, а также в защите информации, обеспечивающей личнуюбезопасность.
Интересы общества винформационной сфере заключаются в обеспечении интересов личности в этой сфере,упрочении демократии, создании правового социального государства, достижении иподдержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются всоздании условий для гармоничного развития российской информационнойинфраструктуры, для реализации конституционных прав и свобод человека игражданина в области получения информации и пользования ею в целях обеспечениянезыблемости конституционного строя, суверенитета и территориальной целостностиРоссии, политической, экономической и социальной стабильности, в безусловномобеспечении законности и правопорядка, развитии равноправного и взаимовыгодногомеждународного сотрудничества.
На основе национальных интересов Российской Федерации винформационной сфере формируются стратегические и текущие задачи внутренней ивнешней политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальныхинтересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов РоссийскойФедерации в информационной сфере включает в себя соблюдение конституционныхправ и свобод человека и гражданина в области получения информации ипользования ею, обеспечение духовного обновления России, сохранение иукрепление нравственных ценностей общества, традиций патриотизма и гуманизма,культурного и научного потенциала страны.
Для достижения этого требуется: повысить эффективностьиспользования информационной инфраструктуры в интересах общественного развития,консолидации российского общества, духовного возрождения многонационального народаРоссийской Федерации;
Усовершенствовать систему формирования, сохранения ирационального использования информационных ресурсов, составляющих основу научно-техническогои духовного потенциала Российской Федерации;
Обеспечить конституционные права и свободы человека игражданина свободно искать, получать, передавать, производить и распространятьинформацию любым законным способом, получать достоверную информацию о состоянииокружающей среды;
обеспечить конституционные права и свободы человека игражданина на личную и семейную тайну, тайну переписки, телефонных переговоров,почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброгоимени;
Укрепить механизмы правового регулирования отношений вобласти охраны интеллектуальной собственности, создать условия для соблюденияустановленных федеральным законодательством ограничений на доступ кконфиденциальной информации;
Гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуютразжиганию социальной, расовой, национальной или религиозной ненависти ивражды;
Обеспечить запрет на сбор, хранение, использование ираспространение информации о частной жизни лица без его согласия и другойинформации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов РоссийскойФедерации в информационной сфере включает в себя информационное обеспечениегосударственной политики Российской Федерации, связанное с доведением дороссийской и международной общественности достоверной информации огосударственной политике Российской Федерации, ее официальной позиции посоциально значимым событиям российской и международной жизни, с обеспечениемдоступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
укреплять государственные средства массовой информации,расширять их возможности по своевременному доведению достоверной информации дороссийских и иностранных граждан;
Интенсифицировать формирование открытых государственныхинформационных ресурсов, повысить эффективность их хозяйственногоиспользования.
Третья составляющая национальных интересов РоссийскойФедерации в информационной сфере включает в себя развитие современныхинформационных технологий, отечественной индустрии информации, в том числеиндустрии средств информатизации, телекоммуникации и связи, обеспечениепотребностей внутреннего рынка ее продукцией и выход этой продукции на мировойрынок, а также обеспечение накопления, сохранности и эффективного использованияотечественных информационных ресурсов. В современных условиях только на этойоснове можно решать проблемы создания наукоемких технологий, технологическогоперевооружения промышленности, приумножения достижений отечественной науки итехники. Россия должна занять достойное место среди мировых лидеровмикроэлектронной и компьютерной промышленности. Для достижения этого требуется:развивать и совершенствовать инфраструктуру единого информационного пространстваРоссийской Федерации.
Развивать отечественную индустрию информационных услуг иповышать эффективность использования государственных информационных ресурсов; Развиватьпроизводство в Российской Федерации конкурентоспособных средств и системинформатизации, телекоммуникации и связи, расширять участие России вмеждународной кооперации производителей этих средств и систем. Обеспечитьгосударственную поддержку отечественных фундаментальных и прикладныхисследований, разработок в сферах информатизации, телекоммуникации и связи. Четвертаясоставляющая национальных интересов Российской Федерации в информационной сферевключает в себя защиту информационных ресурсов от несанкционированного доступа,обеспечение безопасности информационных и телекоммуникационных систем, как ужеразвернутых, так и создаваемых на территории России. В этих целях необходимо: повыситьбезопасность информационных систем, включая сети связи, прежде всегобезопасность первичных сетей связи и информационных систем федеральных органовгосударственной власти, органов государственной власти субъектов РоссийскойФедерации, финансово-кредитной и банковской сфер. Сферы хозяйственнойдеятельности, а также систем и средств информатизации вооружения и военнойтехники, систем управления войсками и оружием, экологически опасными и экономическиважными производствами.
Интенсифицировать развитие отечественного производствааппаратных и программных средств защиты информации и методов контроля за ихэффективностью; обеспечить защиту сведений, составляющих государственную тайну.Расширять международное сотрудничество Российской Федерации в области развитияи безопасного использования информационных ресурсов, противодействия угрозеразвязывания противоборства в информационной сфере.
/>/>/>/>Состояние информационной безопасностиРоссийской Федерации и основные задачи по ее обеспечению
За последние годы в РоссийскойФедерации реализован комплекс мер по совершенствованию обеспечения ееинформационной безопасности.
Начато формирование базы правовогообеспечения информационной безопасности. Приняты Закон Российской Федерации«О государственной тайне», Основы законодательства РоссийскойФедерации об Архивном фонде Российской Федерации и архивах, федеральные законы«Об информации, информатизации и защите информации», «Об участиив международном информационном обмене», ряд других законов, развернутаработа по созданию механизмов их реализации, подготовке законопроектов,регламентирующих общественные отношения в информационной сфере.
Осуществлены мероприятия пообеспечению информационной безопасности в федеральных органах государственнойвласти, органах государственной власти субъектов Российской Федерации, напредприятиях, в учреждениях и организациях независимо от формы собственности.Развернуты работы по созданию защищенной информационно-телекоммуникационнойсистемы специального назначения в интересах органов государственной власти. Успешномурешению вопросов обеспечения информационной безопасности Российской Федерацииспособствуют государственная система защиты информации, система защитыгосударственной тайны, системы лицензирования деятельности в области защитыгосударственной тайны и системы сертификации средств защиты информации. Вместе с тем анализ состояния информационнойбезопасности Российской Федерации показывает, что ее уровень не в полной мересоответствует потребностям общества и государства. Современные условия политического исоциально-экономического развития страны вызывают обострение противоречий междупотребностями общества в расширении свободного обмена информацией инеобходимостью сохранения отдельных регламентированных ограничений на еераспространение.
Противоречивость и неразвитостьправового регулирования общественных отношений в информационной сфере приводятк серьезным негативным последствиям. Так, недостаточность нормативногоправового регулирования отношений в области реализации возможностей конституционныхограничений свободы массовой информации в интересах защиты основконституционного строя, нравственности, здоровья, прав и законных интересовграждан, обеспечения обороноспособности страны и безопасности государствасущественно затрудняет поддержание необходимого баланса интересов личности,общества и государства в информационной сфере. Несовершенное нормативноеправовое регулирование отношений в области массовой информации затрудняетформирование на территории Российской Федерации конкурентоспособных российскихинформационных агентств и средств массовой информации. Необеспеченностьправ граждан на доступ к информации, манипулирование информацией вызываютнегативную реакцию населения, что в ряде случаев ведет к дестабилизациисоциально-политической обстановки в обществе.
Закрепленные в Конституции РоссийскойФедерации права граждан на неприкосновенность частной жизни, личную и семейнуютайну, тайну переписки практически не имеют достаточного правового,организационного и технического обеспечения. Неудовлетворительно организованазащита собираемых федеральными органами государственной власти, органамигосударственной власти субъектов Российской Федерации, органами местногосамоуправления данных о физических лицах (персональных данных). Нетчеткости при проведении государственной политики в области формированияроссийского информационного пространства, развития системы массовой информации,организации международного информационного обмена и интеграции информационногопространства России в мировое информационное пространство, что создает условиядля вытеснения российских информационных агентств, средств массовой информациис внутреннего информационного рынка и деформации структуры международногоинформационного обмена. Недостаточнагосударственная поддержка деятельности российских информационных агентств попродвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений,составляющих государственную тайну.
Серьезный урон нанесен кадровомупотенциалу научных и производственных коллективов, действующих в областисоздания средств информатизации, телекоммуникации и связи, в результатемассового ухода из этих коллективов наиболее квалифицированных специалистов. Отставаниеотечественных информационных технологий вынуждает федеральные органыгосударственной власти, органы государственной власти субъектов РоссийскойФедерации и органы местного самоуправления при создании информационных системидти по пути закупок импортной техники и привлечения иностранных фирм, из-зачего повышается вероятность несанкционированного доступа к обрабатываемойинформации и возрастает зависимость России от иностранных производителейкомпьютерной и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрениемзарубежных информационных технологий в сферы деятельности личности, общества игосударства, а также с широким применением открытыхинформационно-телекоммуникационных систем, интеграцией отечественныхинформационных систем и международных информационных систем возросли угрозыприменения «информационного оружия» против информационнойинфраструктуры России. Работы по адекватному комплексному противодействию этимугрозам ведутся при недостаточной координации и слабом бюджетном финансировании.Недостаточное внимание уделяется развитию средств космической разведки ирадиоэлектронной борьбы.
Сложившееся положение дел в областиобеспечения информационной безопасности Российской Федерации требуетбезотлагательного решения таких задач, как: разработкаосновных направлений государственной политики в области обеспеченияинформационной безопасности Российской Федерации, а также мероприятий имеханизмов, связанных с реализацией этой политики; развитие и совершенствование системы обеспеченияинформационной безопасности Российской Федерации, реализующей единуюгосударственную политику в этой области, включая совершенствование форм,методов и средств выявления, оценки и прогнозирования угроз информационнойбезопасности Российской Федерации, а также системы противодействия этимугрозам; разработка федеральных целевыхпрограмм обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективностисистем и средств обеспечения информационной безопасности Российской Федерации,а также сертификации этих систем и средств; совершенствование нормативной правовой базы обеспеченияинформационной безопасности Российской Федерации, включая механизмы реализацииправ граждан на получение информации и доступ к ней, формы и способы реализацииправовых норм, касающихся взаимодействия государства со средствами массовойинформации; установление ответственностидолжностных лиц федеральных органов государственной власти, органовгосударственной власти субъектов Российской Федерации, органов местногосамоуправления, юридических лиц и граждан за соблюдение требованийинформационной безопасности; координациядеятельности федеральных органов государственной власти, органовгосударственной власти субъектов Российской Федерации, предприятий, учрежденийи организаций независимо от формы собственности в области обеспеченияинформационной безопасности Российской Федерации. Развитие научно-практических основ обеспеченияинформационной безопасности Российской Федерации с учетом современнойгеополитической ситуации, условий политического и социально-экономическогоразвития России и реальности угроз применения «информационногооружия».
Разработка и создание механизмовформирования и реализации государственной информационной политики России. Разработкаметодов повышения эффективности участия государства в формированииинформационной политики государственных телерадиовещательных организаций,других государственных средств массовой информации; обеспечение технологической независимости РоссийскойФедерации в важнейших областях информатизации, телекоммуникации и связи,определяющих ее безопасность, и в первую очередь в области созданияспециализированной вычислительной техники для образцов вооружения и военнойтехники. Разработка современных методов исредств защиты информации, обеспечения безопасности информационных технологий,и прежде всего используемых в системах управления войсками и оружием,экологически опасными и экономически важными производствами; развитие и совершенствование государственной системызащиты информации и системы защиты государственной тайны. Создание и развитие современной защищеннойтехнологической основы управления государством в мирное время, в чрезвычайныхситуациях и в военное время; расширениевзаимодействия с международными и зарубежными органами и организациями прирешении научно-технических и правовых вопросов обеспечения безопасностиинформации, передаваемой с помощью международных телекоммуникационных систем исистем связи; обеспечение условий дляактивного развития российской информационной инфраструктуры, участия России впроцессах создания и использования глобальных информационных сетей и систем;создание единой системы подготовки кадров вобласти информационной безопасности и информационных технологий.
/>/>/>/>Общие методы обеспеченияинформационной безопасности Российской Федерации
Общиеметоды обеспечения информационной безопасности Российской Федерации разделяютсяна правовые, организационно-технические и экономические.
Кправовым методам обеспечения информационной безопасности Российской Федерацииотносится разработка нормативных правовых актов, регламентирующих отношения винформационной сфере, и нормативных методических документов по вопросамобеспечения информационной безопасности Российской Федерации. Наиболее важныминаправлениями этой деятельности являются: внесение изменений и дополнений в законодательствоРоссийской Федерации, регулирующее отношения в области обеспеченияинформационной безопасности, в целях создания и совершенствования системыобеспечения информационной безопасности Российской Федерации, устранениявнутренних противоречий в федеральном законодательстве противоречий, связанныхс международными соглашениями, к которым присоединилась Российская Федерация, ипротиворечий между федеральными законодательными актами и законодательнымиактами субъектов Российской Федерации. А также в целях конкретизации правовыхнорм, устанавливающих ответственность за правонарушения в области обеспеченияинформационной безопасности Российской Федерации; законодательное разграничение полномочий в областиобеспечения информационной безопасности Российской Федерации между федеральнымиорганами государственной власти и органами государственной власти субъектовРоссийской Федерации, определение целей, задач и механизмов участия в этойдеятельности общественных объединений, организаций и граждан.
Разработка и принятие нормативныхправовых актов Российской Федерации, устанавливающих ответственностьюридических и физических лиц за несанкционированный доступ к информации, еепротивоправное копирование, искажение и противозаконное использование,преднамеренное распространение недостоверной информации, противоправноераскрытие конфиденциальной информации, использование в преступных и корыстныхцелях служебной информации или информации, содержащей коммерческую тайну; уточнениестатуса иностранных информационных агентств, средств массовой информации ижурналистов, а также инвесторов при привлечении иностранных инвестиций дляразвития информационной инфраструктуры России; законодательное закрепление приоритета развитиянациональных сетей связи и отечественного производства космических спутниковсвязи; определение статуса организаций,предоставляющих услуги глобальных информационно-телекоммуникационных сетей натерритории Российской Федерации, и правовое регулирование деятельности этихорганизаций; создание правовой базы дляформирования в Российской Федерации региональных структур обеспеченияинформационной безопасности.
Организационно-техническими методамиобеспечения информационной безопасности Российской Федерации являются: созданиеи совершенствование системы обеспечения информационной безопасности РоссийскойФедерации; усиление правоприменительнойдеятельности федеральных органов исполнительной власти, органов исполнительнойвласти субъектов Российской Федерации, включая предупреждение и пресечениеправонарушений в информационной сфере, а также выявление, изобличение ипривлечение к ответственности лиц, совершивших преступления и другиеправонарушения в этой сфере. Разработка,использование и совершенствование средств защиты информации и методов контроляэффективности этих средств, развитие защищенных телекоммуникационных систем, повышениенадежности специального программного обеспечения. Создание систем и средств предотвращениянесанкционированного доступа к обрабатываемой информации и специальныхвоздействий, вызывающих разрушение, уничтожение, искажение информации, а такжеизменение штатных режимов функционирования систем и средств информатизации исвязи; выявление технических устройств ипрограмм, представляющих опасность для нормального функционированияинформационно-телекоммуникационных систем, предотвращение перехвата информациипо техническим каналам, применение криптографических средств защиты информациипри ее хранении, обработке и передаче по каналам связи, контроль за выполнениемспециальных требований по защите информации. Сертификация средств защиты информации, лицензированиедеятельности в области защиты государственной тайны, стандартизация способов исредств защиты информации; совершенствованиесистемы сертификации телекоммуникационного оборудования и программногообеспечения автоматизированных систем обработки информации по требованияминформационной безопасности; контроль задействиями персонала в защищенных информационных системах, подготовка кадров вобласти обеспечения информационной безопасности Российской Федерации; формирование системы мониторинга показателей и характеристикинформационной безопасности Российской Федерации в наиболее важных сферах жизнии деятельности общества и государства.
Экономические методы обеспеченияинформационной безопасности Российской Федерации включают в себя: разработкупрограмм обеспечения информационной безопасности Российской Федерации иопределение порядка их финансирования; совершенствованиесистемы финансирования работ, связанных с реализацией правовых иорганизационно-технических методов защиты информации, создание системы страхованияинформационных рисков физических и юридических лиц.
Национальная безопасность Российской Федерации существеннымобразом зависит от обеспечения информационной безопасности. Интересы общества винформационной сфере заключаются в обеспечении интересов личности в этой сфере,упрочении демократии, создании правового социального государства, достижении иподдержании общественного согласия, в духовном обновлении России.
/>/>/>Приложение
Законы, регулирующиеинформационную безопасность:
· «Офедеральных органах правительственной связи и информации» от 19.02.92 №4524-1;
· «Обезопасности» от 05.03.92 № 2446-1;
· «О правовойохране программ для электронно-вычислительных машин и баз данных» от23.09.92 № 3523-1;
· «О правовойохране топологий интегральных микросхем» от 23.09.92 № 3526-1;
· «Осертификации продукции и услуг» от 10.06.93 № 5151-1;
· «Остандартизации» от 10.06.93 № 5154-1;
· «Об архивномфонде Российской Федерации и архивах» от 07.07.93 № 5341-1;
· «Огосударственной тайне» от 21.07.93 № 485-1;
· «Освязи» от 16.02.95 № 15-ФЗ;
· «Обинформации, информатизации и защите информации» от 20.02.95 № 24-ФЗ;
· «Об органахфедеральной службы безопасности в Российской федерации» от 03.04.95 №40-ФЗ;
· «Обоперативно-розыскной деятельности» от 12.08.95 № 144-ФЗ;
· «Об участиив международном информационном обмене» от 04.07.96 № 85-ФЗ;
· «Обэлектронной цифровой подписи» от 10.01.2002 № 1-ФЗ.
/>/>/>/>Нормативные правовые акты Президента РоссийскойФедерации:
· «Об основахгосударственной политики в сфере информатизации» от 20.01.94 № 170;
· «Вопросымежведомственной комиссии по защите государственной тайны» от 20.01.96 №71;
· «Обутверждении перечня сведений конфиденциального характера» от 06.03.97 №188;
· «О некоторыхвопросах межведомственной комиссии по защите государственной тайны» от14.06.97 № 594;
· «О перечнесведений, отнесенных к государственной тайне» от 24.01.98 № 61;
· «ВопросыГосударственной технической комиссии при Президенте Российской Федерации»от 19.02.99 № 212;
· «О концепциинациональной безопасности Российской Федерации» от 10.01.2000 N 24;
· «Обутверждении перечня должностных лиц органов государственной власти, наделяемыхполномочиями по отнесению сведений к государственной тайне» от 17.01.2000N 6-рп;
· Доктринаинформационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.
/>/>/>/>Нормативные правовые акты Правительства РоссийскойФедерации:
· «Обустановлении порядка рассекречивания и продления сроков засекречивания архивныхдокументов Правительства СССР» от 20.02.95 N 170;
· «Олицензировании деятельности предприятий, учреждений и организаций по проведениюработ, связанных с использованием сведений, составляющих государственную тайну,созданием средств защиты информации, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны» от 15.04.95 N 333;
· «Осертификации средств защиты информации» от 26.06.95 N 608;
· «Обутверждении правил отнесения сведений, составляющих государственную тайну, кразличным степеням секретности» 04.09.95 N 870;
· «Оподготовке к передаче сведений, составляющих государственную тайну, другимгосударствам» от 02.08.97 N 973;
· «Олицензировании отдельных видов деятельности» от 11.04.00 N 326.http://www.infosecurity.ru/_site/content/laws/akt15.zip
/>/>/>/>Руководящие документы Гостехкомиссии России:
· Концепция защитысредств вычислительной техники и автоматизированных систем отнесанкционированного доступа к информации;
· Временноеположение по организации разработки, изготовления и эксплуатации программных итехнических средств защиты информации от несанкционированного доступа вавтоматизированных системах и средствах вычислительной техники;
· Средствавычислительной техники. Защита от несанкционированного доступа к информации.Показатели защищенности от несанкционированного доступа к информации;
· Автоматизированныесистемы. Защита от несанкционированного доступа к информации. Классификацияавтоматизированных систем и требования по защите информации;
· Средствавычислительной техники. Межсетевые экраны. Защита от несанкционированногодоступа к информации. Показатели защищенности от несанкционированного доступа кинформации;
· Защитаинформации. Специальные защитные знаки. Классификация и общие требования;
· Защита отнесанкционированного доступа к информации. Часть 1. Программное обеспечениесредств защиты информации. Классификация по уровню контроля отсутствиянедекларированных возможностей.