Смарт ТВ 

Проблемы информационной безопасности в россии

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Работа с информацией в современных условиях отличается не только массивом и многообразием ресурсов, постоянным обновлением технологий ее обработки, повышенным вниманием и контролем над персоналом, но и грамотным уровнем управления фирмой.

Известно, что процесс массового внедрения компьютерной техники и информационных технологий наряду с прогрессивным началом неизбежно создает и дополнительные проблемы. Они связаны с реальными угрозами безопасности предприятий, с потерей стратегически важной информации, а вместе с этим и утратой управляемости компании.

В целях сокращения побочных явлений повсеместного использования новых информационных технологий руководство организаций определяет стратегию своей деятельности в информационной сфере. Стержневым началом такой стратегии должна быть информационная безопасность, определяемая как состояние защищенности интересов предприятий или организации в информационной сфере. Все направления деятельности предприятия, в которых прямо или косвенно используются информационные технологии, фокусируются в рамках обеспечения информационной безопасности.

Как показывает международная практика, основная проблема в сфере обеспечения информационной безопасности заключается в создании единого эффективного механизма, который позволял бы своевременно применять на практике нормативно-правовые, законодательные акты, отвечающие существующим социально-политическим и экономическим условиям и достижениям в области информационных технологий. Развитие технологий, сферы информатизации делает актуальным вопрос обеспечения информационной безопасности.

Проблема обеспечения информационной безопасности имеет две составляющие - технологическую и идеологическую. Первая - связана с разработкой и внедрением информационных ресурсов, системы защиты информационных баз, вторая - с распространением информации, ее воздействием на жизнь личности, общества, государства.

Практически любая новая технология влечет за собой социально-экономические изменения в обществе, влияет на международные отношения. На сегодняшний день можно говорить о создании общемирового информационного пространства. Информация, информационные технологии характеризуются такими свойствами как трансграничность, проницаемость, имеют возможность повсеместного использования, становятся доступными вне зависимости от национальных границ.

Под угрозами информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

Ознакомление с информацией различными путями и способами без нарушения ее целостности;

Модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

Разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам:

По величине принесенного ущерба:

Предельный, после которого фирма может стать банкротом;

Значительный, но не приводящий к банкротству;

Незначительный, который фирма за какое-то время может компенсировать и др.;

По вероятности возникновения:

Весьма вероятная угроза;

Вероятная угроза;

Маловероятная угроза;

По причинам появления:

Стихийные бедствия;

Преднамеренные действия;

По характеру нанесенного ущерба:

Материальный;

Моральный;

По характеру воздействия:

Активные;

Пассивные;

По отношению к объекту:

Внутренние;

Внешние.

Источниками внешних угроз являются:

Недобросовестные конкуренты;

Преступные группировки и формирования;

Отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

Администрация предприятия;

Персонал;

Технические средства обеспечения производственной и трудовой деятельности.

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.

В этом случае возможны такие ситуации:

Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

Промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

"Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена" Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией (Рис. 2).

Рис. 2.

А так же рассматривается отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:

Экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

Парализации деятельности фирмы (31%),

Компрометации фирмы (11%),

Шантаж руководителей фирмы (10%);

Физическое подавление:

Ограбления и разбойные нападения на офисы, склады, грузы (73%),

Угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

Убийства и захват заложников (5%);

Информационное воздействие:

Подкуп сотрудников (43%),

Копирование информации (24%),

Проникновение в базы данных (18%),

Продажа конфиденциальных документов (10%),

Подслушивание телефонных переговоров и переговоров в помещениях (5%), а также ограничение доступа к информации, дезинформация

Финансовое же подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

Правовые проблемы обеспечения информационной безопасности

Проблема обеспечения информационной безопасности является на сегодня одной из самых острых не только у нас в стране, но и в развитых странах мира. Опыт эксплуатации информационных систем и ресурсов в различных сферах жизнедеятельности показывает, что существуют различные и весьма реальные угрозы потери информации, приводящие к материальным и иным ущербам. При этом обеспечить на 100% безопасность информации практически невозможно.

Интерес к проблемам информационной безопасности определяется все возрастающей ролью информации в различных сферах жизни общества (например, экономической, политической сферах).

Проблема обеспечения информационной безопасности является одной из актуальных проблем, которая стоит перед мировым сообществом. Значительными событиями в сфере обеспечения информационной безопасности и борьбы с компьютерными преступлениями стали Международные конференции представителей государственных и коммерческих структур стран «восьмерки» по вопросам безопасности и доверия в киберпространстве, которые состоялись в 2000 году в Париже и в Берлине. На этих конференциях рассматривались такие важные вопросы: защита электронной торговли, критической инфраструктуры и повышение доверия в киберпространстве путем оценки угроз и предотвращения преступлений; улучшение способности обнаружения и идентификации преступников, использующих информационные технологии; совершенствование партнерских отношений между государственными структурами, частным сектором, пользователями в целях обеспечения безопасности и доверия в киберпространстве; а также подписание главами «восьмерки» 22 июля 2000 года Окинавской Хартии глобального информационного общества, в которой ведущие страны в очередной раз подчеркнули важность принятия всех необходимых мер, направленных на создание безопасного и свободного от преступности мирового киберпространства. Отмечена необходимость поиска эффективных политических решений таких актуальных проблем, как, например, несанкционированного доступа и компьютерных вирусов.

В соответствии с указанным документом, информационная и коммуникационная технология является одной из наиболее влиятельных и могущественных сил, которые обозначают контуры ХХІ столетия. Ее революционное влияние касается быта, образования, работы, а также способов взаимосвязи советов и гражданского общества. Как ускоритель экономического роста, данная технология обладает большим потенциалом различных социальных преобразований.

В связи с этим, в некоторых европейских государствах появилось законодательное закрепление понятия «информационная безопасность». Так в законодательстве Российской Федерации есть конкретное определение данного понятия, а именно: «под информационной безопасностью Российской Федерации понимается состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства» .

На законодательном же уровне Украины понятие «информационной безопасности» отсутствует.

Так что же такое «информационная безопасность»? Рассмотрим содержание понятия «безопасность» как таковое.

На протяжении всей истории мировой цивилизации безопасность является одной из главнейших целей и неотъемлемым слагаемым деятельности людей, социальных групп, обществ, государств и мирового сообщества. Забота о безопасности имманентно присуща каждой частице социальной структуры общества от конкретного индивида до предельно широкого объединения людей.

Термин «безопасность» означает отсутствие опасности, сохранность, надежность или положение, при котором не угрожает опасность кому-, чему-нибудь . Вопросы охраны безопасности рассматриваются и на законодательном уровне, а именно: Законы Украины «Об объектах повышенной опасности», «Об использовании ядерной энергии радиационную безопасность», «О дорожном движении», «О пожарной безопасности».

Итак, можно сделать вывод, что безопасность – это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Информация является основным объектом информационного общества и ее роль на сегодняшний день очень велика. Термин «информация» произошел от латинского слова «informatio», что означает пояснение, сообщение. Информация состоит из сообщений. Сообщение является формой представления информации.

Согласно статьи 1 закона Украины «Об информации», под информацией следует понимать документированные или публично оглашенные сведения о событиях или явлениях, которые происходят в обществе, государстве или окружающей природной среде .

Важной особенностью информации является возможность ее практически неограниченного тиражирования, распространения и преобразования форм ее фиксации .

Отсюда следует, что информационная безопасность – это состояние защищенности личности, общества, государства в информационной сфере от внутренних (источниками являются: неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур; получения криминальными структурами доступа к конфиденциальной информации; усиления влияния организованной преступности на жизнь общества; снижения степени защищенности законных интересов граждан, общества и государства; недостаточное финансирование мероприятий по обеспечению информационной безопасности; недостаточная экономическая мощь государства; критическое состояние отечественных отраслей промышленности) и внешних (деятельность иностранных разведывательных и информационных структур, направленная против интересов государства; обострение международной конкуренции за обладание информационными технологиями и ресурсами) угроз. Отметим, что информационная сфера – это сфера деятельности, которая связана с созданием, распространением, переработкой и потреблением информации .

Источники информационных опасностей подразделяются на естественные (природного происхождения) и искусственные (созданные человеком в процессе его жизнедеятельности).

Наиболее очевидными источниками информационной безопасности являются:
1) отсутствие единой государственной политики в области обеспечения информационной безопасности;
2) несовершенство нормативной правовой базы, регулирующие отношения в области обеспечения информационной безопасности, а также недостаточная правоприменительная практика;
3) недостаточный контроль за развитием информационного рынка со стороны государственных структур и общества;
4) низкий уровень информатизации государственных и коммерческих структур;
5) низкий уровень защищенности интересов физических и юридических лиц в информационной сфере;
6) сращивание государственных и коммерческих структур в области кредитно-финансовой сферы с криминальными структурами;
7) получение доступа криминальными структурами к конфиденциальной информации;
8) усиление влияния организованной преступности на жизнь общества;
9) контрабандный ввоз и незаконная продажа компьютерной техники и средств радиосвязи, получение неконтролируемой прибыли.

В качестве объектов, подлежащих защите от информационных угроз и опасностей, выделяют сознание, психику отдельного человека, социальных сообществ (коллектив, социальные группы, нации, народности, гражданское общество, государство); информационно-технические системы различного назначения и информационные потоки, связывающие все элементы в единую социальную или техническую систему .

Угрозами же безопасности информационных средств и систем могут являться:
- противоправный сбор и использование информации;
- разработка и распространение программ, нарушающих нормальное функционирование информационных систем, в том числе систем защиты информации;
- утечка информации по техническим каналам (визуально-оптические, акустические, электрические, радиотехнические, материально-вещественные );
- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций, независимо от формы собственности;
- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
- перехват информации в сетях передачи данных и на линиях связи;
- несанкционированный доступ к информации, находящейся в банках и базах данных (может быть целенаправленный и случайный);
- нарушение законных ограничений на распространение информации.

Центральным моментом применения информационных компьютерных технологий в Украине является наличие адекватного информационного законодательства. Под информационным законодательством следует понимать комплекс законов и нормативных актов, которые регламентируют правоотношения в области собирания, обработки, сохранения и использования информации . Однако, на сегодняшний день действующие законы Украины (например, законы Украины «Об информации», «О государственной тайне», «Об информационных агентствах», «О государственном реестре физических лиц плательщиков налогов и других обязательных платежей») и другие нормативные акты, которые непосредственно или косвенно связаны с этими вопросами, не охватывают весь комплекс проблем и не образуют целостной системы. Поэтому, реализация эффективных мер правового обеспечения информационной безопасности жизненно необходима для развития Украины, ведь информационное общество можно создать только в правовом государстве.

Одной из составных частей информационной безопасности является защита информации в компьютерных системах и сетях. На законодательном уровне Украины охрана информации в компьютерных системах и сетях не рассматривалась. И только в связи с принятием нового Уголовного кодекса Украины в 2001 году, компьютерная безопасность поставлена под охрану уголовного закона (раздел ХVІ УК «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей»). Однако само по себе законодательное закрепление данных моментов еще не способствует их пресечению. Как заметила по этому поводу А.А. Матвеева: «Уголовно-правовые нормы являются лишь законодательной базой, необходимым (в условиях правового государства), но не единственным условием. Основное значение состоит в их правильном и своевременном применении. В качестве главного принципа уголовной ответственности нужно признать ее неотвратимость. При этом, прежде чем рассматривать организационные и технические сложности, следует в первую очередь оценить, насколько совершенно (а, следовательно, действенно), существующее уголовное законодательство.

В итоге представляется необходимым дальнейшее усовершенствование правовой базы, особое место в системе которой занимает уголовное право, и практики ее применения. При этом в первую очередь необходимо достижение единства норм различных отраслей права, максимальное уменьшение их несбалансированности .

Обеспечение информационной безопасности не сводится лишь к принятию правовых мер, а включает в себя широкий спектр организационного, технического и иного характера (создание и совершенствование системы обеспечения информационной безопасности; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты). Поэтому, выполнение всего комплекса мероприятий возможно при наличии развитой законодательной базы и обеспечения их финансирования.

Литература:

1. Доктрина информационной безопасности Российской Федерации // Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. – М: Издательство «Юрлитинформ», 2001. – С.89.
2. Даль В. Толковый словарь живого великорусского языка. Т.1. – М., 1978. – С.67.
3. Ожегов С.И. Словарь русского языка. – М., 1986. – С.38.
4. Закон України “Про інформацію» від 02.10.1992 року // Відомості Верховної Ради – 1992. - N 48. - Ст. 650.
5. Гражданское право. Учебник. Под ред. Сергеева А.П., Толстого Ю.К. – М.: Проспект, 1997. – С.214-215.
6. Орлов П.І. Інформація та інформатизація: Нормативно-правове забезпечення: Науково-практичний посібник. – Харків: Видавництво Університету внутрішніх справ, 2000. – С.9.
7. Российская криминологическая энциклопедия. Под общей редакцией А.И. Долговой. – М.: Издательство НОРМА (Издательская группа НОРМА – ИНФРА-М), 2000. – С.67.
8. Методы и средства защиты информации: Методические указания. – К: КМУГА, 1997. – С.17.
9. Кисельов М. Про створення єдиної інформаційної системи органів юстиції України // Право України. – 1997. - №3. – С.53.
10. Матвеева А.А. Информационная безопасность и проблемы совершенствования уголовного законодательства // Уголовное право в ХХІ веке: Материалы Международной научной конференции на юридическом факультете МГУ им. М.В. Ломоносова 31 мая – 1 июня 2001 г. – М.: «ЛексЭст», 2002. – С.181-186.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

С технологической точки зрения информация является продукцией информационных систем. Как и для всякого продукта, для информации большое значение имеет ее качество, то есть способность удовлетворять определенные информационные потребности.

Актуальность данной контрольной работы. Обеспечение информационной безопасности в современной России представляется сложным и специфическим процессом, подверженным воздействию множества внешних и внутренних факторов. Специфический характер данного процесса определяется теми политическими условиями, в которых он протекает.

Задачи данной контрольной работы:

1. Рассмотреть информационную безопасность и ее составляющие;

2. Рассмотреть проблемы информационной безопасности;

3. Изучить правовое обеспечение информационной безопасности.

Качество информации является сложным понятием, его основу составляет базовая система показателей, включающая показатели трех классов:

* класс выдачи (своевременность, актуальность, полнота, доступность и другие);

* класс обработки (достоверность, адекватность и другие);

* класс защищенности (физическая целостность, логическая целостность, безопасность).

Своевременность информации оценивается временем выдачи (получения), в течение которого информация не потеряла свою актуальность.

Актуальность информации - это степень ее соответствия текущему моменту времени. Нередко с актуальностью связывают коммерческую ценность информации. Устаревшая и потерявшая свою актуальность информация может приводить к ошибочным решениям и тем самым теряет свою практическую ценность. Полнота информации определяет достаточность данных для принятия решений или для создания новых данных на основе имеющихся. Чем полнее данные, тем проще подобрать метод, вносящий минимум погрешностей в ход информационного процесса.

Достоверность информации - это степень соответствия между получаемой и исходящей информацией.

Адекватность информации - это степень соответствия реальному объективному состоянию дела. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостаточных данных. Однако и полные, и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

Доступность информации - мера возможности получить ту или иную информацию. Отсутствие доступа к данным или отсутствие адекватных методов обработки данных приводят к одинаковому результату: информация оказывается недоступной. Одним из наиболее существенных показателей качества информации является ее безопасность.

Структура данной контрольной работы. Контрольная работа состоит из: введения, трех глав, заключения, списка использованной литературы.

I. Информационная безопасность и ее составляющие

Проблема обеспечения информационной безопасности актуальна с тех пор, как люди стали обмениваться информацией, накапливать ее и хранить. Во все времена возникала необходимость надежного сохранения наиболее важных достижений человечества с целью передачи их потомкам. Аналогично возникала необходимость обмена конфиденциальной информацией и надежной ее защиты.

С началом массового применения компьютеров проблема информационной безопасности приобрела особую остроту. С одной стороны, компьютеры стали носителями информации и, как следствие, одним из каналов ее получения, как санкционированного, так и несанкционированного. С другой стороны, компьютеры как любое техническое устройство подвержены сбоям и ошибкам, которые могут привести к потере информации. Под информационной безопасностью понимается защищенность информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. С повышением значимости и ценности информации соответственно растет и важность ее защиты. С одной стороны, информация стала товаром, и ее утрата или несвоевременное раскрытие наносит материальный ущерб. С другой стороны, информация -- это сигналы управления процессами в обществе, технике, а несанкционированное вмешательство в процессы управления может привести к катастрофическим последствиям.

информационный безопасность правовой защита

II. Проблема информационной безопасности

Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления - «информационная безопасность». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных. Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных. Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п. Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты, как от разнообразных случайностей, так и от несанкционированного доступа. Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п. Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.

Кроме чисто технических задач разработки средств защиты информации имеются нормативно-технические, организационно-правовые, юридические и другие аспекты. Основные задачи, рассматриваемые специалистами по информационной безопасности (а также публикации на эту тему), связаны с обеспечением безопасности использования глобальных и локальных сетей, с проблемами глобальной вычислительной сети Интернет, «хакерами», «вирусами» и т.п. Резюмируя сказанное, можно выделить технические, организационные и правовые меры обеспечения информационной безопасности и предотвращения компьютерных преступлений.

К техническим мерам относятся:

1. защита от несанкционированного доступа;

2. резервирование особо важных компонентов подсистем;

3. организация вычислительных сетей с перераспределением ресурсов при временном нарушении работоспособности какой-либо части сети;

4. создание устройств обнаружения и тушения пожаров;

5. создание устройств обнаружения утечек воды;

6. техническая защита от хищений, саботажа, диверсий, взрывов;

7. дублирование электропитания;

8. надежные запирающие устройства;

9. устройства сигнализации о различных опасностях.

К организационным мерам относятся:

1. надежная охрана;

2. подбор надежного персонала;

3. правильная организация работы персонала;

4. предусмотренный план восстановления работы информационного центра после сбоя;

5. организация обслуживания и контроля работы компьютерного центра лицами, не заинтересованными в сокрытии преступлений;

6. создание средств защиты информации от любых лиц, включая и руководящий персонал;

7. предусмотренные меры административной и уголовной ответственности за нарушение правил работы;

8. правильный выбор местонахождения информационного центра с дорогостоящим техническим и программным обеспечением.

К правовым мерам относятся:

1. разработка уголовных норм ответственности за компьютерные преступления;

3. усовершенствование уголовного и гражданского законодательства;

4. усовершенствование судопроизводства по компьютерным преступлениям;

5. общественный контроль за разработчиками компьютерных систем;

6. принятие ряда международных соглашений, касающихся информационной безопасности.

Это очень крупная научно-техническая проблема и, естественно, мы не можем осветить ее в полной мере и коснемся только основных понятий, определений и средств защиты, доступных пользователю, причем начнем с наиболее близкой проблемы рядового пользователя - с сохранения информации, не связанного с несанкционированным доступом.

III. Правовое обеспечение информационной безопасности

К правовым мерам обеспечения информационной безопасности относится: разработка норм, устанавливающих ответственность за компьютерные преступления; защита авторских прав программистов; совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам следует отнести также общественный контроль за разработчиками компьютерных систем и принятие соответствующих международных соглашений. До недавнего времени в Российской Федерации отсутствовала возможность эффективной борьбы с компьютерными преступлениями, так как данные преступления не могли считаться противозаконными, поскольку они не квалифицировались уголовным законодательством. До 1 января 1997 г. на уровне действующего законодательства России можно было считать удовлетворительно урегулированной лишь охрану авторских прав разработчиков программного обеспечения и, частично, защиту информации в рамках государственной тайны, но не были отражены права граждан на доступ к информации и защита информации, непосредственно связанные с компьютерными преступлениями.

Частично указанные проблемы были решены после введения в действие с 1 января 1997 г. нового Уголовного кодекса (УК), принятого Государственной Думой 24 мая 1996 г. В новом УК ответственность за компьютерные преступления устанавливают ст. ст. 272, 273 и 274. Ст. 272 нового УК устанавливает ответственность за неправомерный доступ к компьютерной информации (на машинном носителе в компьютере или сети компьютеров), если это привело либо к уничтожению, блокированию, модификации или копированию информации, либо к нарушению работы вычислительной системы. (Под блокированием понимается такое воздействие на компьютер или компьютерную систему, которое повлекло временную или постоянную невозможность выполнять какие-либо операции над информацией.)

Эта статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы или как лицо, которое приобрело право ее использования. Преступное деяние, ответственность за которое предусмотрено ст. 272, состоит в неправомерном доступе к охраняемой законом компьютерной информации, который всегда имеет характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системой защиты; незаконного применения действующих паролей или маскировки под законного пользователя для проникновения в компьютер, хищения носителей информации (при условии, что были приняты меры их охраны), если это повлекло к уничтожению или блокированию информации. (Доступ считается правомерным, если он разрешен правообладателем, собственником информации или системы.

Неправомерным является доступ, если лицо не имеет права доступа, либо имеет право на доступ, но осуществляет его с нарушением установленного порядка.) Для наступления уголовной ответственности обязательно должна существовать причинная связь между несанкционированным доступом к информации и наступлением предусмотренных ст. 272 последствий, тогда как случайное временное совпадение неправомерного доступа и сбоя в вычислительной системе, повлекшего указанные последствия, не влечет уголовной ответственности.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно, т.е. совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность указанных в законе последствий, желает и сознательно допускает их наступление или относится к ним безразлично. Следовательно, с субъективной стороны преступление по ст. 272 характеризуется наличием прямого или косвенного умысла. Мотивы и цели данного преступления могут быть самыми разными: корыстными, направленными на причинение вреда (из хулиганских, конкурентных или иных побуждений) или проверку своих профессиональных способностей, и др. Поскольку мотив и цель преступления в ст. 272 не учитываются, она может применяться к всевозможным компьютерным посягательствам. Ст. 272 УК состоит из двух частей. В первой части наиболее серьезное наказание преступника состоит в лишении свободы сроком до двух лет. Часть вторая указывает в качестве признаков, усиливающих уголовную ответственность, совершение преступления группой лиц или с использованием преступником своего служебного положения, а равно имеющим доступ к информационной системе, и допускает вынесение приговора сроком до пяти лет. При этом не имеет значения местонахождение объекта преступления (например, банка, к информации которого осуществлен неправомерный доступ в преступных целях), который может быть и зарубежным.

По уголовному законодательству субъектами компьютерных преступлений могут быть лишь лица, достигшие 16-летнего возраста. Ст. 272 УК не регулирует ситуации, когда неправомерный доступ к информации происходит по неосторожности, поскольку при расследовании обстоятельств доступа зачастую крайне трудно доказать преступный умысел. Так, при переходах по ссылкам от одного компьютера к другому в сети Интернет, связывающей миллионы компьютеров, можно легко попасть в защищаемую информационную зону какого-либо компьютера, даже не замечая этого (хотя целью могут быть и преступные посягательства). Ст. 273 УК предусматривает уголовную ответственность за создание, использование и распространение вредоносных программ для компьютеров или модификацию программного обеспечения, заведомо приводящее к несанкционированному уничтожению, блокированию, модификации, копированию информации или к нарушению работы информационных систем. Статья защищает права владельца компьютерной системы на неприкосновенность хранящейся в ней информации. Вредоносными считаются любые программы, специально разработанные для нарушения нормального функционирования других компьютерных программ.

Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены и которые определены в документации на программу. Наиболее распространенные вредоносные программы - компьютерные вирусы, логические бомбы, также программы, известные как «троянский конь». Для привлечения к ответственности по ст. необязательно наступление каких-либо нежелательных последствий для владельца информации, достаточен сам факт создания вредоносных программ или внесение изменений в уже существующие программы, заведомо приводящих к указанным в статье последствиям. Использованием программ считается их выпуск в свет, воспроизведение, распространение и другие действия по введению в оборот. Использование программ может осуществляться путем записи в память компьютера или на материальный носитель, распространения по сетям или путем иной передачи другим пользователям.

Уголовная ответственность по ст. 273 возникает уже в результате создания вредоносных программ, независимо от их фактического использования. Даже наличие исходных текстов программ является основанием для привлечения к ответственности. Исключение составляет деятельность организаций, разрабатывающих средства противодействия вредоносным программам и имеющих соответствующие лицензии. Статья состоит из двух частей, различающихся признаком отношения преступника к совершаемым действиям. Ч. 1 предусматривает преступления, совершенные умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. При этом ответственность наступает независимо от целей и мотивов посягательства, которые могут быть вполне позитивными (например, охрана личных прав граждан, борьба с техногенными опасностями, защита окружающей среды и т.п.). Максимальное наказание по первой части - лишение свободы сроком до трех лет. По ч. 2 дополнительный квалифицирующий признак - наступление тяжких последствий по неосторожности. В этом случае лицо сознает, что создает, использует или распространяет вредоносную программу или ее носители и предвидит возможность наступления серьезных последствий, но без достаточных оснований рассчитывает их предотвратить, или не предвидит этих последствий, хотя как высококвалифицированный программист мог и был обязан их предусмотреть. Поскольку последствия могут быть очень тяжкими (смерть или вред здоровью человека, опасность военной или иной катастрофы, транспортные происшествия), максимальное наказание по ч. 2 - семь лет лишения свободы. Отметим, что в законе не говорится о степени нанесенного вреда в отличие от краж, когда различаются просто кража, кража в крупном размере и кража в особо крупном размере. Здесь устанавливается лишь факт преступления, а размер ущерба влияет лишь на оценку его тяжести и меру ответственности. Наконец, ст. 274 УК устанавливает ответственность за нарушение правил эксплуатации компьютеров, компьютерных систем или сетей лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Эта статья защищает интересы владельца компьютерной системы в отношении ее правильной эксплуатации и распространяется только на локальные вычислительные сети организаций. К глобальным вычислительным сетям, например к таким, как Интернет, эта статья неприменима.

Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен режим ее правовой защиты. Между фактом нарушения правил эксплуатации и наступившим существенным вредом должна быть обязательно установлена причинная связь и полностью доказано, что наступившие вредные последствия являются результатом именно нарушения правил. Оценку нанесенного вреда устанавливает суд, исходя из обстоятельств дела, причем считается, что существенный вред менее значителен, чем тяжкие последствия.

Субъект этой статьи - лицо, в силу своих должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила. Согласно ч. 1 статьи он должен совершать свои деяния умышленно; сознавать, что нарушает правила эксплуатации; предвидеть возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желать или сознательно допускать причинение такого вреда или относиться к его наступлению безразлично. Наиболее строгое наказание в этом случае - лишение права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, или ограничение свободы на срок до двух лет. Ч. 2 ст. 274 предусматривает ответственность за те же деяния, не имевшие умысла, но повлекшие по не осторожности тяжкие последствия, например за установку инфицированной программы без антивирусной проверки, что повлекло за собой серьезные последствия (крупный финансовый ущерб, транспортные происшествия, утрата важных архивов, нарушение работы системы жизнеобеспечения в больнице и др.). Мера наказания за это преступление устанавливается судом в зависимости от наступивших последствий, максимальное наказание - лишение свободы на срок до четырех лет. Как видно, рассмотренные статьи УК не охватывают все виды компьютерных преступлений, разнообразие которых увеличивается вместе с прогрессом в области компьютерной техники и ее использованием.

Кроме того, некоторые формулировки статей допускают неоднозначное истолкование, например в определении злостного умысла. Поэтому в дальнейшем возможно пополнение и усовершенствование этих статей.

Заключение

Информационная безопасность в условиях глобализации и нарастающей открытости стран играет важнейшую роль в реализации жизненно важных интересов личности, общества и государства. Это обусловлено повсеместным созданием развитой информационной среды. Именно через информационную среду, зачастую, в современных условиях реализуются угрозы национальной безопасности Российской Федерации.

Информационная безопасность личности общества и государства может быть эффективно обеспечена лишь системой мер, имеющих целенаправленный и комплексный характер. Особое значение для формирования и реализации политики обеспечения информационной безопасности имеет грамотное использование политического инструментария. Однако в настоящее время ощущается недостаточная научная проработка вопросов, касающихся определения роли политического фактора в системе информационной безопасности, что во многом связано с транзитор-ным состоянием российского общества и потребностями переосмысления целого ряда теоретических и методологических проблем.

Информационные факторы приобретают все большее значение в политической, экономической, социальной, военной, духовной сферах жизнедеятельности российского общества, а информационная среда выступает системообразующим фактором национальной безопасности, активно влияет на состояние политической, экономической, военной, духовной и других составляющих общей системы национальной безопасности Российской Федерации. В то же время информационная сфера представляет собой самостоятельную сферу национально безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию юридических лиц и граждан.

Информационная безопасность как самостоятельная область научного познания базируется на теории безопасности, кибернетике и информатике. Основными методами изучения информационной безопасности в настоящее время чаще всего выступают наблюдение (в том числе включенное), экспертная оценка, социологические опросы общественного мнения (в том числе интервьюирование), логическое и математическое моделирование. Для выявления состояния защищенности интересов предприятий и организаций, имеющих корпоративные информационные сети, наиболее приемлем метод экспертных оценок.

Понятийный аппарат информационной безопасности составляют такие категории как: "безопасность", "национальная безопасность", "интерес", "жизненно важный интерес", "сфера жизнедеятельности", "информация", "информационное общество", "информационные ресурсы", "защита", "политика обеспечения информационной безопасности" и др.

Актуальной остается задача обеспечения национальной безопасности России при неосязаемой передаче технологий. В сферу разведок все в большей мере вовлекаются вопросы новейших технологий, финансов, торговли, ресурсов и другие экономические стороны деятельности государства, доступ к которым открывается в связи с развитием международных инте1рационных процессов, широким внедрением компьютеризации в эти сферы деятельности.

Особое место в законодательстве должны занимать правоотношения, возникающие в процессе использования компьютерных систем и сетей. Необходим государственный механизм расследования компьютерных преступлений и система подготовки кадров для следствия и судопроизводства по делам, связанным с компьютерной преступностью, противоправным использованием Internet.

В обеспечении информационной безопасности должны быть полнее задействованы ресурсы гражданского общества. Очевидно, что государство в одиночку не способно справиться в полном объеме с задачей обеспечения информационной безопасности всех субъектов информационных отношений. Если сегодня в соответствии с законом оно полностью отвечает лишь за вопросы защиты государственной тайны, то в большинстве остальных случаев при неопределенности доли государственного участия бремя обеспечения информационной безопасности ложится на плечи граждан и общества. Это отвечает конституционному принципу самозащиты своих интересов всеми способами, не запрещенными законом. Органы государственной власти должны четко определить свои полномочия, исходя из реальных возможностей и заявленных приоритетов в обеспечении информационной безопасности.

Список использованной литературы

1. Ю.И. Кудинов, Ф. Ф. Пащенко. Основы современной информатики: Учебное пособие. 2-е изд., испр. -- СПб.: Издательство «Лань», 2011. -- 256 с.: ил. -- (Учебники для вузов. Специальная литература).

2. Аверьянов Г.П., Дмитриева В.В. СОВРЕМЕННАЯ ИНФОРМАТИКА: Учебное пособие. М.: НИЯУ МИФИ, 2011. -- 436 с.

3. Таганов, Л. С. Информатика: учеб. пособие / Л. С. Таганов, А. Г. Пимонов; Кузбас. гос. техн. ун-т. - Кемерово, 2010. - 330 с.

4. Вербенко, Борис Владимирович. Дисертация на соискание ученой степени кондидата политических наук

Нынешнее состояние информационной безопасности России - это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности. Назовем самые важные из них.

Во-первых, начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации (далее - Доктрина). Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:

объекты, угрозы и источники угроз информационной безопасности;

возможные последствия угроз информационной безопасности;

методы и средства предотвращения и нейтрализации угроз информационной безопасности;

особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;

основные положения государственной политики по обеспечению информационной безопасности в РФ.

На основе Доктрины осуществляются:

формирование государственной политики в области обеспечения информационной безопасности;

подготовка предложений по совершенствованию правового, методического, научно- технического и организационного обеспечения информационной безопасности;

разработка целевых программ обеспечения информационной безопасности.

Во-вторых, к настоящему времени проведены первоочередные мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от форм собственности. Развернута работа по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

В-третьих, обеспечению информационной безопасности способствуют созданные:

государственная система защиты информации;

система лицензирования деятельности в области защиты государственной тайны;

система сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности показывает, что ее уровень не в полной мере соответствует требованиям времени. Все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы. 1.

Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение. 2.

Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации. 3.

Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе. 4.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных). 5.

Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена. 6.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. 7.

Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну. 8.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов. 9.

Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы власти субъектов РФ и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Из-за этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

10. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения информационного оружия против соответствующей инфраструктуры России. Работы по адекватному противодействию этим угрозам ведутся в условиях недостаточной координации и слабого бюджетного финансирования. Не уделяется необходимое внимание развитию средств космической разведки и радиоэлектронной борьбы.

Обеспечение информационной безопасности требует решения целого комплекса задач. Доктрина перечисляет наиболее важные из них:

разработка основных направлений государственной политики в области обеспечения информационной безопасности, а также мероприятий и механизмов, связанных с реализацией этой политики;

развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности, а также системы противодействия этим угрозам;

разработка федеральных целевых программ обеспечения информационной безопасности;

разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также их сертификации;

совершенствование нормативно-правовой базы обеспечения информационной безопасности;

установление ответственности должностных лиц федеральных органов власти и местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;

координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности в области обеспечения информационной безопасности;

развитие научно-практических основ обеспечения информационной безопасности с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;

создание механизмов формирования и реализации государственной информационной политики России;

повышение эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;

разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

развитие и совершенствование систем защиты информации и государственной тайны; создание защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

расширение взаимодействия с международными и зарубежными органами и организациями для обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;

обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;

создание системы подготовки кадров в области информационной безопасности и информационных технологий.

Важнейшая задача в деле обеспечения информационной безопасности России - осуществление комплексного учета интересов личности, общества и государства в данной сфере.

Доктрина эти интересы определяет следующим образом:

интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование различных форм общественного контроля над деятельностью федеральных органов государственной власти и органов государственной власти субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.

Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы: правовые;

организационно-технические; экономические.

К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл. 4 настоящего пособия).

Организационно-техническими методами обеспечения информационной безопасности являются:

создание и совершенствование систем обеспечения информационной безопасности; усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;

совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности программного обеспечения;

создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;

выявление технических устройств и программ, представляющих опасность для функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации, контроль за выполнением специальных требований по защите информации;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;

формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя: разработку программ обеспечения информационной безопасности и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности:

проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению;

организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности;

поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

19 сентября 2013
Рубрика: .

В эпоху информационных технологий проблема обеспечения информационной безопасности телекоммуникационных систем и систем обработки информации от внешних воздействий приобретает первостепенное значение. От успешного решения этой проблемы зависит безопасность граждан, будущее страны.

На сегодняшний день в Республике Узбекистан уделяется особое внимание задачам и проблемам обеспечения информационной безопасности на государственном уровне. Об этом свидетельствуют законы Республики Узбекистан, указы и постановления Президента Республики Узбекистан, постановления Правительства и руководящие документы министерств и ведомств, связанные с регулированием различных аспектов в области информационных технологий.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

Основные цели достижения высокого уровня информационной безопасности - это обеспечение конфиденциальности, целостности, доступности, подлинности и неотказуемости информации.

Средства обеспечения информационной безопасности можно разбить на четыре группы:
организационные средства (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
законодательные средства (стандарты, законы, нормативные акты и т.д.);
программно-аппаратные средства (системы идентификации и аутентификации; системы шифрования дисковых данных; системы аутентификации электронных данных и т.д.);
криптографические средства (электронная цифровая подпись, шифрования, аутентификация и др.).

Широкое применение компьютерных технологий и постоянное увеличение объема информационных потоков вызывает постоянный рост интереса к криптографии. Современные методы криптографии гарантируют практически абсолютную защиту данных, но всегда остается проблема надежности их реализации.

Другой важной проблемой применения криптографии является противоречие между желанием граждан защитить свою информацию и стремлением государственных спецслужб иметь возможность доступа к некоторой информации для пресечения незаконной деятельности. Чрезвычайно трудно найти неоспоримо оптимальное решение этой проблемы.

Без использования криптографии сегодня немыслимо решение задач по обеспечению безопасности информации, связанных с конфиденциальностью и целостностью, аутентификацией и невозможностью отказа от авторства. Если до 1990 г. криптография обеспечивала защиту исключительно государственных линий связи, то в наши дни использование криптографических методов получило широкое распространение благодаря развитию компьютерных сетей и электронного обмена данными в различных областях: финансах, банковском деле, торговле и т.д.

В настоящее время одним из наиболее эффективных и надежных методов обеспечения информационной безопасности являются криптографические методы. В связи с этим в 2007 году принято Постановление Президента Республики Узбекистан №ПП-614 «О мерах по организации криптографической защиты информации в Республике Узбекистан». Последние годы в Узбекистане разработан ряд государственных стандартов и нормативных документов в области криптографической защиты информации.

Принято различать два типа криптографических систем: симметричные и асимметричные. Для симметричных криптосистем, имеющих многовековую историю, характерна узость круга решаемых задач и потребность в надежном канале распределения ключей, и тем самым они обеспечивают стойкость к атакам.

В симметричных криптосистемах один и тот же ключ используется как для зашифровки, так и для расшифровки сообщения. Это означает, что этот ключ должен быть сначала передан по надежному каналу с тем, чтобы обе стороны знали его до того, как передавать зашифрованное сообщение по ненадежному каналу.

Асимметричная криптография, возникшая в середине семидесятых годов прошлого века, ориентирована на решение более широкого круга задач, таких как шифрование с открытым ключом, распределение секретных ключей по открытым каналам связи и электронная цифровая подпись документов в ситуациях отсутствия взаимного доверия между сторонами и т.п. При использовании криптографии с открытым ключом каждый обладает парой дополняющих друг друга ключей: открытым и закрытым. Каждый из ключей, входящих в пару, подходит для расшифровки сообщения, зашифрованного с применением другого ключа из той же пары. Зная открытый ключ, закрытый вычислить невозможно. Открытый ключ может быть опубликован и широко распространен по сетям коммуникаций.

Одним из обязательных атрибутов электронного документооборота является электронная цифровая подпись (ЭЦП), позволяющая как контролировать подлинность и целостность сообщений, так и достоверно устанавливать их авторство, в том числе и третьей стороне.

В настоящее время многие страны имеют алгоритмы электронной цифровой подписи. Например, в США используются DSA, в России - ГОСТ 34.10-94 и ГОСТ Р 34.10-2001, в Японии - ESIGH, в Европе - Schnorr, в Южной Корее - KCDSA, в Беларуси - СТБ 1176.2-99 и т.д. В последние годы в Узбекистане проводятся фундаментальные и прикладные научные исследования в области криптологии. ЭЦП является электронным аналогом обычной рукописной подписи и позволяет устанавливать подлинность источника подписанного сообщения. Однако возможности технологии ЭЦП несколько шире. Известно, например, что при заверении многостраничного документа приходится расписываться на каждой странице. Применение ЭЦП гарантирует защиту от подделки документов неограниченного объема и позволяет контролировать целостность сообщений. В настоящее время ведется последовательная работа по внедрению электронной цифровой подписи в системах электронного документооборота органов государственного управления. Внедрение электронной цифровой подписи в государственном управлении Республики Узбекистан позволит повысить оперативность и эффективность решения задач, результативность деятельности органов государственного управления и способствует вхождению Республики Узбекистан в мировое информационное сообщество.

Однако более надежным способом хранения аутентификационных данных признано использование специальных аппаратных средств. При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере, имея доступ к своим аутентификационным данным и криптографическим ключам. Электронные USB-ключи и смарт-карты eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. В Узбекистане на основе государственных стандартов разработано аппаратно-программное средство «Е-Калит».

Задача определения эффективности средств защиты зачастую более трудоемкая, чем их разработка, требует наличия специальных знаний и, как правило, более высокой квалификации, чем задача разработки. Эти обстоятельства приводят к тому, что на рынке появляется множество средств криптографической защиты информации, про которые никто не может сказать ничего определенного. На сегодняшний день существуют хорошо известные и апробированные криптоалгоритмы, криптостойкость которых либо доказана математически, либо основана на необходимости решения математически сложной задачи (факторизации, дискретного логарифмирования и т.п.). Поэтому знание атак и дыр в криптосистемах, а также понимание причин, по которым они имели место, являются одним из необходимых условий разработки защищенных систем и их использования.

Необходимо отметить, что при экспорте оборудования информационно-коммуникационных технологий в другие страны в системе защиты информации используют программное обеспечение с более низкой криптостойкостью относительно их национального стандарта, поскольку национальные стандарты не используются в программных продуктах, предназначенных для экспорта. В этой связи, в настоящее время особо актуальной является проблема разработки, испытаний, внедрения и дальнейшего развития алгоритма и программы шифрования данных и электронной цифровой подписи для Республики Узбекистан.

В Одноклассники