Актуальные проблемы создания и совершенствования системы защиты информации

Проблема информационной безопасности

Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни.

Современное общество все более приобретает черты информационного общества.

Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации – это принципиально более широкое понятие.

Задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться.

Особая значимость и роль информационно-телекоммуникационных сис­тем в процессах выработки и принятия решений, огромный масштаб потенциальных отрицательных последствий несанкционированного вмеша­тельст­ва в работу этих систем объективно приводят к осознанию необходимости совершенствования существующей системы защиты информации.

Это обусловлено многими факторами.

Характерной особенностью современного этапа развития общества является широкое применение современных информационных систем в различных сферах жизнедеятельности общества, большинство из которых относятся к ключевым системам информационной инфраструктуры.

Подключение к сети Интернет происходит без применения сертифицированных средств защиты информационных систем. Систем связи и отдельных персональных компьютеров, в которых обрабатываются сведения, составляющие государственную тайну и охраняемую служебную информацию, вследствие – чего значительно увеличилось количество фактов несанкционированного доступа через сеть Интернет к информации, хранящейся на серверах органов государственной власти, предприятий, учреждений и организаций федерального округа.

В большинстве органов власти, предприятий, учреждений, и организаций, работающих с информацией ограниченного распространения, автома­тизированные системы управления построены на базе оборудования и программного обеспечения иностранного производства. Которые не прошли специальную проверку и специальные исследования на выявление электронных закладочных устройств перехвата информации, программных средств информационного воздействия и возможных каналов утечки информации за счет побочных излучений и наводок. Обработка информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляется на не аттестованных в реальных условиях эксплуатации по требованиям безопасности информации средствах вычислительной техники, в работе используется нелицензионное программное обеспечение.

Существенную опасность представляют компьютерные вирусы, атаки которых приводят не только к сбоям в работе компьютерных систем и разрушению информации. Вирусные программы типа «троянский конь» позволяют незаконно копировать чужую компьютерную информацию. В большинстве случаев заражение сетей компьютерными вирусами является результатом халатности и некомпетентности персонала, а также недостаточным уровнем технической защиты. Сохраняющаяся угроза поражения компьютерными вирусами систем информационной и телекоммуникационной инфраструктуры федерального округа связана, прежде всего, с отсутствием централизованных поставок современных версий сертифицированного программного обеспечения и антивирусных программ, а также возможностью подключения отдельных структур к открытой телекоммуникационной сети в обход установленных требований.

В условиях отсутствия конкурентоспособных российских разработок, серьезную угрозу информационному пространству России представляет повсеместное использование иностранных технологий в системах управления отраслью связи, в сетях информационного обслуживания органов государственного управления. Применение ведущими операторами связи, а также операторами сотовой связи оборудования импортного производства создает реальные предпосылки к утечке информации. Программное обеспечение, обслуживание и ремонт этого оборудования изначально ориентированы на удаленный доступ через сеть Интернет, что не предполагает участия российской стороны и предусматривает управление функциями оборудования с территории сопредельных иностранных государств. Иностранные производители телекоммуникационных систем связи заняли господствующее положение на рынке..

В связи с этим одной из задач «первостепенной важности» является защита от несанкционированного доступа сведений ограниченного распространения.

Другой большой проблемой является развитие регионального информационного рынка. Имеющиеся примеры противоправного распространения на региональных информационных рынках баз данных местных телефонных станций (включая адреса и телефоны режимных организаций), персональных данных, а также сведений, собираемых налоговыми органами, ГИБДД, паспортными столами указывают на необходимость организационно-правового регулирования деятельности этих рынков. В этой связи требует внимания проблема обеспечения безопасности региональных информационных ресурсов и профилактики правонарушений в информационной сфере, которая во все большей степени становится ареной соперничества государств, криминальных группировок и противоправных посягательств со стороны отдельных лиц.

Говоря о научном потенциале в вопросах информационной безопасности, необходимо отметить немногочисленность научных организаций, занимающихся этой проблемой.

Анализ современного состояния информационной безопасности субъектов российской Федерации позволяет выделить и иные проблемы, требующие своего решения на региональном уровне.

Важной составляющей информационного пространства является система массового информирования граждан, которая в России еще недостаточно развита, а в ряде случаев имеет однобокую и не совсем правильную, с точки зрения интересов государства, направленность. Здесь, прежде всего, имеются в виду известные проблемы со средствами массовой информации, которые иногда под флагом свободы слова наносят ущерб, как отдельным людям, так и государству в целом.

Кроме того, необходимо сказать о соблюдении конституционных прав и свобод человека и гражданина на информационную деятельность. В частности, на региональном уровне могут регулироваться вопросы противодействия монополизации и недобросовестной конкуренции в информационной сфере – противодействия пропаганде или агитации, возбуждающей социальную рознь, расовую, национальную или религиозную ненависть и вражду, а также пропаганду социального, расового, превосходства.

Для совершенствования системы защиты информации целесообразно решить финансовые вопросы и проблемы подготовки квалифицированных кадров. К сожалению, сегодня органы власти и крупные предприятия не обладают ни тем, ни другим для обеспечения защиты своих информационных систем от угроз безопасности информации.

Таким образом, основными факторами, определяющими необходимость создания и совершенствования системы защиты информации являются:

– реструктуризация управления хозяйственной деятельностью, повышение самостоятельности федерального округа и отдельных субъектов Российской Федерации;

– увеличение объемов конфиденциальной информации, циркулирующей в органах государственной власти субъектов Российской Федерации и местного самоуправления;

– широкое использование в органах государственной власти и управления региональных, межрегиональных и глобальных информационных систем, накапливающих и передающих большие объемы информации и, в то же время, уязвимых для угроз;

– невозможность своевременно и с высокой степенью достоверности прогнозировать и выявлять угрозы безопасности информации, оценивать их опасность, принимать адекватные меры по устранению • из федерального центра;

– неспособность большинства организаций регионов самостоятельно обеспечить эффективную защиту информации;

– непредсказуемость экономических, экологических и социальных последствий при возникновении кризисных ситуаций, связанных с нарушениями режимов безопасности информации в кредитно-финансовых учреждениях, системах управления экологически опасными производствами, транспортом, энергетикой.

Решение выделенных проблем предполагает создание целостной региональной системы обеспечения информационной безопасности, которая должна выявлять угрозы жизненно важным интересам субъекта Российской Федерации в информационной сфере и защищать эти интересы, а также обеспечивать взаимодействие региона с федеральной властью, межрегиональное взаимодействие, координацию деятельности государственных и негосударственных структур действующих на территории региона.

Одним из наиболее сложных вопросов является определение места информационной безопасности в области формирования региональной политики.

В настоящее время можно выделить три относительно самостоятельных региональных аспекта федеральной политики обеспечения информационной безопасности: политику федеральной власти по отношению к регионам; политику регионов по отношению к федеральной власти и внутреннюю политику регионов.

Федеральная политика в сфере обеспечения региональной информационной безопасности должна формироваться исходя из необходимости защиты интересов, отнесенных к совместному ведению федерации и ее субъектов, а также оказания субъектам федерации финансовой помощи в защите национальных и их собственных интересов в информационной сфере.

Политика субъектов Российской Федерации по отношению к федеральной власти должна строиться на основе соблюдения федеральных и региональных нормативно-правовых актов; выявления интересов регионов в информационной сфере в рамках предметов совместного и исключительного ведения; создания правовых, организационных и финансовых механизмов обеспечения информационной безопасности на основе взаимодействия региональной и федеральной систем.

Внутренняя региональная политика субъектов Российской Федерации в области информационной безопасности должна быть направлена на защиту предметов их исключительного ведения, к которым относится региональная информация, включая региональные информационные ресурсы, информационные инфраструктуры, системы связи и массового информирования граждан.

Другими словами региональная информационная безопасность должна быть ориентирована на защиту особо значимых информационных ресурсов. Сведения о кредитно-финансовой, налоговой и таможенной сферах. Информация о земельном кадастре, недрах и энергоресурсах, коммуникациях, технологиях, объектах повышенной опасности, субъектах предпринимательской деятельности, структура, отдельные особенности управления в сферах экономики, промышленности и науки, борьбы с преступностью, персональные сведения о гражданах и др.

Перечисленные обстоятельства создают объективные предпосылки наличия у федерации и субъектов Российской Федерации как совместных, так и собственных жизненно важных интересов в информационной сфере, требуют организацию тесного взаимодействия федеральных и региональных органов и формирования согласованной федеральной политики по обеспечению региональной информационной безопасности.

Следовательно, создание системы защиты информации в субъекте Российской Федерации является составной частью государственной политики, и которая строится на основе разграничения предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Востребованность основ этой политики на региональном уровне являются проявляется в весьма многочисленных попытках субъектов Российской Федерации самостоятельно решать проблемы обеспечения безопасности информационных ресурсов.

При этом, главной целью развития системы, защиты информации в субъекте Российской Федерации является создание региональных компонентов Государственной системы защиты информации, соответствующих задачам обеспечения безопасности и устойчивого развития субъектов Российской Федерации, федерального округа и государства в целом.

Достижение поставленной цели осуществляется решением ряда основных задач в ходе развития системы защиты информации в субъекте Российской Федерации, среди которых следует выделить такие, как:

– формирование и совершенствование организационной структуры системы защиты информации федерального округа, развитие их научно-технического и кадрового потенциала;

– создание необходимых правовых, организационных, экономических и научно-технических условий для обеспечения защиты информации в федеральном округе;

– обеспечение эффективной защиты информации на объектах органов

– государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций;

– создание эффективной и гибкой системы управления деятельностью региональной системы защиты информации в рамках Государственной системы защиты информации, приспособленной к изменяющимся условиям обстановки.

В первую очередь необходимо сказать о формировании и совершенствовании организационной структуры системы защиты информации, развитии их научно-технического и кадрового потенциала. Решение этих вопросов достигается:

– определением алгоритмов взаимодействия территориальных органов федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, иных организаций, входящих в региональную систему технической защиты информации при решении задач защиты информации;

– формированием структурных подразделений по технической защите информации в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и в организациях;

– развитием региональных компонентов систем лицензирования, сертификации и аттестации в области защиты информации;

– созданием и развитием межрегиональных и региональных учебных, научно-исследовательских, консультативно-методических и научно-произ­водст­венных (технических) комплексов в области защиты информации.

Говоря о создании необходимых правовых, организационных, экономических и научно-технических условий, в первую очередь следует подчеркнуть необходимость совершенствования концептуальных и правовых основ деятельности региональной системы защиты информации. В Российской Федерации действует в настоящее время весьма значительное количество законов и подзаконных нормативно-правовых актов, регулирующих вопросы информационной безопасности и защиты информации от несанкционированного использования. Вместе с тем, сохраняется острая потребность в разработке федеральных и региональных законодательных актов, которые регулировали бы вопросы обеспечения прав граждан на получение информации, режимы формирования и использования общегосударственных и региональных информационных ресурсов, процессы управления информационными потоками и механизмы право применения по обеспечению информационной безопасности.

Необходимость в разработке общегосударственной нормативной базы обеспечения региональной информационной безопасности определяется, в частности, и тем, что назрела потребность в унификации на федеральном и региональном уровнях систем управления информационными ресурсами.

Органы федеральной и исполнительной власти субъектов Российской Федерации не раз выступали с инициативами в области информационной безопасности.

Указанные структуры призваны служить методологической основой для проведения государственной политики регионов по обеспечению информационной безопасности. Разработки соответствующей стратегии деятельности в этой сфере, включая цели, задачи и комплекс мер по ее практической реализации подготовки предложений по совершенствованию правого, нормативно-методического, научно практического и программ защиты информационных ресурсов и средств информатизации и т. д.

Важную роль играют и такие вопросы, как организация и обеспечение работ по выявлению и оценке угроз безопасности информации в регионах. Прогнозирование их развития, разработка частных моделей угроз безопасности информации для конкретных объектов защиты, а также оснащение структурных подразделений по технической защите информации региональных органов государственной власти, местного самоуправления и организаций современными сертифицированными средствами технической защиты информации (в том числе контроля эффективности).

При решении задачи обеспечения эффективной защиты информации на объектах органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций следует особое внимание уделять таким вопросам как:

– разработка и внедрение типовых систем, средств и технологий технической защиты информации;

– создание защищенных от несанкционированного доступа к информации и специальных воздействий на информацию региональных информационно-телекоммуникационных систем;

– проведение мероприятий по технической защите информации при проведении выставок, конференций, совещаний, при участии в международном информационном обмене, в том числе – с использованием открытых информационных систем;

– использование общего и специального сертифицированного программного обеспечения, сертифицированных средств технической защиты информации.

Достаточно важным направлением деятельности в ходе развития региональной системы защиты является создание эффективной и гибкой системы управления, обязательными элементами которой являются органы, организации и структурные подразделения различного уровня, в том числе:

· Межведомственная комиссия полномочного представителя Президента Российской Федерации по информационной безопасности;

· Управление Федеральной службы по техническому и экспортному контролю;

· Органы исполнительной власти субъектов Российской Федерации;

· Советы (Технические комиссии) по защите информации при Главах органов исполнительной власти субъектов Российской Федерации;

· Законодательные органы государственной власти субъектов Российской Федерации;

· Органы местного самоуправления;

· Структурные подразделения (штатные специалисты) по защите информации законодательных органов государственной власти субъектов Российской Федерации, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления;

· Предприятия, учреждения и организации, подведомственные органам исполнительной власти субъектов Российской Федерации. Органам местного самоуправления, а также предприятия вневедомственной принадлежности, размещенные на территориях субъектов Российской Федерации и проводящие работы с использованием сведений, составляющих государственную тайну или конфиденциальную информацию, их структурные подразделения по защите информации;

· Образовательные учреждения высшего профессионального образования по подготовке, профессиональной переподготовке и повышению квалификации специалистов в области технической защиты информации;

· Организации, выполняющие работы и оказывающие услуги в области защиты информации.

Решение задачи создания эффективной и гибкой системы управления достигается решением таких вопросов как:

– взаимодействие межведомственных, ведомственных и региональных органов управления при организации и проведении работ по технической защите информации в субъекте РФ;

– осуществление контроля над выполнением требований по технической защите информации за счет координации деятельности межведомственных, ведомственных, региональных органов и систем контроля;

– создание систем мониторинга над состоянием системы технической защиты информации федерального округа в интересах информационного обеспечения принятия решений по технической защите информации, в том числе с использованием результатов контроля и состояния технической защиты информации;

– создание и развертывание межрегиональной и региональных информационно-аналитических систем обеспечения деятельности в области технической защиты информации.

Таким образом, защищенность российских национальных интересов в информационной сфере Дальневосточного федерального округа обеспечивается на основе единства системы государственной власти Российской Федерации, а также разграничения предметов ведения и полномочий между органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации.

Соответствующий режим защиты информационных ресурсов органов исполнительной власти, территориальных органов федеральных органов исполнительной власти, предприятий, учреждений и организаций Дальневосточного федерального округа, являющихся частью информационных ресурсов Российской Федерации, должен устанавливаться на основе требований концептуальных, нормативных и методологических документов федерального уровня. Решение практических вопросов обеспечения информационной безопасности лежит именно на региональном уровне применительно к потребностям указанных организаций.

Можно вывести два вида проблем:

Информационная безопасность – не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие.

Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель информационной безопасности) представляется нам слишком узким.

Компьютеры – только одна из составляющих информационных систем. И хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров.

Ее безопасность определяется и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на «бумаге», прилепленной к монитору).

1.3. Основные составляющие
информационной безопасности

Информационная безопасность – многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений.

Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в системах управления – на производстве, транспорте и т. п.

Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т. п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).

Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию».

Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.

Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности.

К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности.

Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках.

Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует Информационные Системы, на первом месте стоит доступность.

Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в различных учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Дата добавления: 2014-01-06; Просмотров: 4469; Нарушение авторских прав?; Мы поможем в написании вашей работы!