| необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности); § необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации). Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях. Основная работа по снижению дестабилизирующих факторов в области информационной безопасности - раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:§ показатели, характеризующие технологическую безопасность информационных систем; § требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС; § ресурсы, необходимые для обеспечения технологической безопасности ИС; § внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных; § методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных; § оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности; § методы и средства определения реальной технологической безопасности функционирования критических ИС. Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.Проблема информационной безопасности заключается в том, что любую систему можно взломать.Терроризм, как выражение крайнего экстремизма, основанное на различного рода разногласиях (как национального, так и транснационального масштаба) в политике, экономике, на религиозной или криминальной почве, обсуждается и осуждается давно. При современном уровне развития высоких технологий расширяются возможности их использования для совершения террористических действий. Во многих странах сегодня ведется активная работа по анализу потенциальных возможностей подобных проявлений и выработке мер по борьбе с этим злом.Терроризм - совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем. Направления противоправных, злоумышленных действий на сетевой среде с целью использования их результатов для проведения террористических актов можно представить в виде следующих: · Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем. · Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д. Ущерб от террористических действий на сетевой среде связан: · с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры; · с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности; · с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению; · с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса; · с другими возможными потерями от несанкционированного использования информации с высоким уровнем секретности.Отличие подходов к предотвращению и реагированию на действия в случае террористического характера целей от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности, и, соответственно, величиной издержек от подобных злоумышленных действий.В качестве понятия, интегрирующего противодействия кибертерроризму, рассмотрим антитеррористическую информационную безопасность с тем, чтобы подчеркнуть отличие от традиционной информационной безопасности. Антитеррористическая информационная безопасность - совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, - оперативно реагировать на действия, способные привести: · к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов; · к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.Основа антитеррористических действий с использованием сетевой среды - традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, - сложная, многоплановая задача.Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.К информационным угрозам относятся: · несанкционированный доступ к информационным ресурсам; · незаконное копирование данных в информационных системах; · хищение информации из библиотек, архивов, банков и баз данных; · нарушение технологии обработки информации; · противозаконный сбор и использование информации; · использование информационного оружия. К программным угрозам относятся: · использование ошибок и "дыр" в ПО; · компьютерные вирусы и вредоносные программы; · установка "закладных" устройств; К физическим угрозам относятся:· уничтожение или разрушение средств обработки информации и связи; · хищение носителей информации; · хищение программных или аппаратных ключей и средств криптографической защиты данных; · воздействие на персонал; К радиоэлектронным угрозам относятся:· внедрение электронных устройств перехвата информации в технические средства и помещения; · перехват, расшифровка, подмена и уничтожение информации в каналах связи. К организационно-правовым угрозам относятся:· закупки несовершенных или устаревших информационных технологий и средств информатизации; · нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом:Угрозами национальной безопасности России в информационной сфере являются: · стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; · разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним. К мерам противодействия указанным угрозам необходимо отнести: · постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств; · развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем; · минимизацию числа иностранных фирм - поставщиков; · координацию действий по проверке надежности указанных фирм; · уменьшению номенклатуры поставляемого оборудования; · переходу от поставок оборудования к поставкам комплектующих на элементарном уровне; · установлению приоритета в использовании отечественных средств защиты этих систем. Существует много видов угроз. 1.3. Методика реализации политики безопасностиПервоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются: · разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации; · разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики; · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения; · развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации; · гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения. Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере. Основными функциями системы обеспечения информационной безопасности Российской Федерации являются: · разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации; · создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере; · определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации; · оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз; · координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации; · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области; · развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке; · проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; · организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации; · защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
Страницы: 1, 2, 3, 4, 5, 6
|
