Файл: Виды и источники угроз информационной безопасности. Задачи обеспечения информационной безопасности в различных сферах деятельности..docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 27.03.2024
Просмотров: 15
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Укажем также некоторые пути совершенствования концептуально-методологического базиса системной деятельности по защите информации.Для дальнейшей разработки теории ЗИ наибольшее значение имеют методы теории вероятностей, аналитической статистики и теории систем, достаточно развитой за последние десятилетия в ходе исследования вопросов проектирования и управления большими организационно-техническими системами. Методы теории вероятностей и аналитической статистики носят достаточно универсальный характер, поэтому их вполне можно использовать и для задач ЗИ. Несколько иначе обстоят дела с методами теории систем. Как известно, классическая теория систем разработана как научно-методологический базис технических (хорошо формализованных) систем. Между тем, особенностью систем и процессов ЗИ является повышенная их подверженность влиянию случайных факторов. Поэтому здесь подходят теоретические направления, связанные с методологией анализа процесса функционирования многомерных (сложных) систем, включающих в свой состав и работу развитый организационный компонент, с исследованием процессов системного метаболизма (процессов использования, хранения и передачи энергии, информации и прочих ресурсов), с изучением процессов гибкого (адаптивного) системного управления, в условиях воздействия трудно предсказуемых и неизвестных факторов.
Далее для более глубокого понимания сущности деятельности, направленной на защиту информации, более глубже познакомимся с понятийным аппаратом в этой сфере.
Отметим, что предметная область, связанная с деятельностью по защите информации регламентирована следующими нормативными правовыми актами:
Законом РФ «Об информации, информатизации и защите информации» 1995 года;
Законом РФ «О государственной тайне» 1993 года;
Законом РФ «О коммерческой тайне» 2005 года;
Законом РФ «О безопасности» 1992 года;
Законом РФ «О средствах массовой информации» 1991 года;
Концепцией национальной безопасности РФ 2000 года;
Доктриной информационной безопасности РФ 2000 года;
Концепцией защиты государственной тайны в РФ 1998 года и другими.
В результате анализа всех аспектов, рассматриваемой предметной области была построена система понятий, отражающая структуру и взаимосвязь всех элементов сферы, связанной с деятельностью по защите информации.
Термины и их определения, относящиеся к данной предметной области, имеются в указанных актах, закреплены Гостом (действует ГОСТ Р50922-96. “Защита информации. Основные термины и определения”), включены в соответствующие терминологические словари и сборники. Частично термины доводились до вас в ходе вводной лекции. Понятие о деятельности по защите информации может быть существенно расширено если мы продолжим наращивание терминологического аппарата.
Защита информации– это “деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию”[3].
Защита информации – это “комплекс мероприятий, проводимых в целях предотвращения утечки, хищения, утраты, несанкционированного уничтожения, изменения, модификации (подделки), несанкционированного копирования, блокирования информации ”[3].
Защита информации– это “организационные, программные и технические методы и средства, направленные на удовлетворение ограничений, установленных для типов данных или экземпляров типов данных в системе обработки данных”[3].
Обратим внимание на то, что формулировки совершенно четко свидетельствуют о защите, как о деятельности по локализации, устранению опасности информационных угроз, по созданию таких условий, при которых перечисленные угрозы не достигнут своей цели. Такая деятельность и определяет сущность защиты информации.
Изложим другие определения [3], относящиеся к основным:
Информация с ограниченным доступом. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. Конкретизация категорий сведений ограниченного доступа, а также мер ее защиты производится в соответствии с общегосударственными и ведомственными нормативными правовыми актами.
Защита информации от несанкционированного воздействия. Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав (или правил) на изменение информации, приводящего к искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Зашита информации от непреднамеренного воздействия. Деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных целенаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разведки. Деятельность по предотвращению получения защищаемой информации разведкой.
Таким образом, с помощью основных теоретических положений по защите информации и соответствующего терминологического аппарата определяются границы предметной области защита информации.
2. Цели, задачи и требования к защите информации
Во вводной лекции с понятием цели защиты информации связан результат защиты, который выражается в предотвращении ущерба для собственника (владельца) информационных ресурсов. Цели защиты информации обуславливаются необходимостью предотвращения и локализации основных информационных угроз. К таким угрозам отнесем три главных – утечка, искажение (дезинформация) и потеря (невозможность получения информации, разрыв информационных связей) сведений. В более предметной постановке цели защиты информации сводятся к качественному информационному обеспечению деятельности государства, министерства, его структурных подразделений, объединений Вооруженных Сил, соединений и воинских частей, которое предполагает предотвращение (или минимизацию) ущерба по причинам несвоевременного, неполного получения нужных сведений, блокирования доступа к информации, снижения ее достоверности ввиду дезинформации, снижения актуальности ввиду утечки..
По иному целью зашиты является достижение такого состояния информации, которое категорируется как информационная безопасность. Соотношение понятий защита информации и информационная безопасность становится ясным, если рассмотреть их с точки зрения разных категорий. Понятие «защита информации» относится к категории «деятельность», понятие «информационная безопасность» относится к категории «состояние». Информационная безопасность как состояние присуще всем сложноорганизованным системам. Оно должно быть достигнуто с помощью деятельности по защите информации, как в масштабе государства, так и в масштабе более локальных организационных структур, таких как Министерство Обороны РФ, объединение Вооруженных Сил, воинская часть. Защита информации играет в системе информационной безопасности информации активную роль, и выражена в методах, способах и средствах защиты, причем в динамике их подготовки, планирования и осуществления. Информационная безопасность в свою очередь является частью национальнойбезопасности государства, и определяется как - защищенность информационной среды общества от внешних и внутренних угроз.
Следует отметить также, что постольку, поскольку информация может принести вред и использоваться в качестве оружия, сфера информационной безопасности включает в себя также деятельность по защите от информации (защита информационной системы, в том числе и личности как системы, от вредоносной информации). В последние годы на уровне государственных программ начато изучение методов защиты личности от воздействия на психику человека некоторых информационных продуктов, распространяемых, в том числе и через средства массовой информации. По широте охвата информационное оружие может квалифицироваться как оружие массового поражения, и является не менее грозным, чем ядерное. Оно гораздо изощреннее по форме воздействия, так как лишает разума и калечит душу человека. Тщательно спланированная информационная акция может демобилизовать население целого государства, региона, и подготовить беспрепятственное вторжение противника, способствовать экономической экспансии, усилить криминогенный фон.
Так как защита информации является деятельностью, то характеризуется признаками и критериями, присущими любой деятельности – не только целью, сферой (границами), результатом, но и методами, особыми алгоритмами, частными специфичными задачами, к такой деятельности предъявляются определенные требования.
Защита информации, в этой связи, разбивается на решение двух основных групп задач:
1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, научно-технической, финансово-экономической и иной деятельности, то есть обеспечение должностных лиц, принимающих решение необходимыми сведениями, в том числе категории ограниченного доступа, по должностной необходимости.
2. Ограждение информации соответствующей категории от несанкционированного доступа к ней посторонних юридических и физических лиц, не имеющих на то полномочий и прав.
При решении первой группы задач снабжение должностных лиц открытой информацией ничем не ограничивается, с точки зрения санкций на доступ. Ограничения накладывают потенциальные возможности информационной системы воинской части (пропускная способность коммуникаций, максимальные объемы носителей, максимальное время использования информации). Решение задач этой группы непосредственно не связано с деятельностью наших специалистов в войсках.
При использовании должностными лицами информации ограниченного доступа, возникает вторая группа задач, входящих в сферу деятельности выпускников вашей специальности. Решение задач данной группы направлено на защиту информационного суверенитета страны и расширение возможностей государства по укреплению своего могущества и обеспечению обороноспособности за счет формирования и надежной сохранности информационного потенциала. Основным принципом решения отмеченных задач является введение ограничений на допуск и доступ к информации (различия между допуском и доступом к сведениям введены ст.2, 21-27 Закона РФ «О государственной тайне» 1993 года).
Ограничения предполагают:
наличие у должностных лиц допуска по соответствующей форме;
наличия разрешения руководства на доступ к конкретной информации.
Исходя из вышеизложенного к защите информации должны предъявляться следующие основные требования:
1. Экономическая оправданность, зависящая от важности защищаемых сведений и требуемого уровня их защиты.
2. Практичность реализации мер защиты, то есть система защиты должна быть удобной для лиц, допущенных к определенной информации и непреодолимой для нарушителей.
3. Максимальное ограничение круга лиц, допускаемых к защищаемой информации, предполагает разграничение доступа должностных лиц к закрытым информационным массивам.
4. Обеспечение защиты закрытой информации на всех этапах ее обработки, передачи, использования и хранения во всех структурных подразделениях воинской части.
5. Реализация комплексного подхода в планировании и проведении мероприятий по защите (то есть всех мероприятий из класса организационных, правовых, технических, программных).
6. Возможность осуществления контроля должностными лицами выполнения требований по защите и доступа специалистов к защищаемой информации.
7. Установление строгой ответственности за нарушение требований по защите информации.
С позиций системного подхода к защите информации также предъявлены определенные требования. Защита информации должна быть:
1. Непрерывной.
2. Плановой и алгоритмичной. Планирование осуществляется разработкой службой защиты информации детальных планов работ по защите, с учетом общей цели информационного обеспечения деятельности воинской части, и необходимости координации действий других отделов и служб в этом направлении.