Обеспечение информационной безопасности в овд. Информационная безопасность в деятельности органов внутренних дел: теоретико-правовой аспект Величко Михаил Юрьевич. Если говорить об угрозах информационно-технического характера, можно выделить такие элемент
ББК73
Лапин, В.В.
Основы информационной безопасности в ОВД: курс лекций / В. В. Лапин. - М. : Московский университет МВД России, 2009. - 164 с. - ISBN 978-5-9694-0267-6.
Курс лекций по дисциплине «Основы информационной безопасности» содержит основные определения и понятия, классификацию и описание технических каналов утечки информации и методов предотвращения утечки, способы борьбы с несанкционированным доступом, методы защиты информации от сетевых угроз и некоторые другие вопросы по заявленной тематике.
Предназначен для курсантов, студентов и слушателей Московского университета МВД России.
ББК 73ISBN 978-5-9694-0267-6
© Московский университет МВД России, 2009 В. В. Лапин, 2009
ВВЕДЕНИЕ
Курс лекций «Основы информационной безопасности ОВД» подготовлен в Московском университете МВД России для проведения занятий по одноименной учебной дисциплине по специальностям: 030501.65 - «Юриспруденция», 030502.65 - «Судебная экспертиза» и 030505.65 - «Правоохранительная деятельность». Курс лекций написан в соответствии с примерной и рабочей учебными программами.
Лекция 1 посвящена основным понятиям информационной безопасности, классификации угроз и источников угроз информационной безопасности. Рассмотрены основы государственной политики в области информационной безопасности. Сформулированы национальные интересы России в информационной сфере, показана ее структура. Особое внимание уделяется классификации вопросов обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах (в том числе в ОВД). Рассматриваются важнейшие составляющие интересов в информационной сфере и основные угрозы информационной безопасности органов внутренних дел.
Лекция 2 дает общие положения защиты информации. Классифицируется информация, подлежащая особой защите. Рассмотрен комплексный подход к защите информации. Проанализированы статьи Уголовного кодекса Российской Федерации и кодекса Российской Федерации об административных правонарушениях, предусматривающие наказания за информационные и компьютерные преступления. Особое внимание уделяется вопросам обеспечения информационной безопасности в условиях проведения оперативно-разыскных мероприятий сотрудниками ОВД.
Вопросам утечки информации и исследованию технических каналов утечки информации посвящена Лекция 3, в которой рассматриваются основные понятия, классификация технических каналов и методов предотвращения утечки информации по электромагнитному, акустическому, визуально-оптическому, электрическому и материально-вещественному каналам. Дается общая характеристика технических средств несанкционированного получения информации и технологий их применения. Приводятся основные направления инженерно-технической защиты информации от утечки.
Защите информационных процессов в компьютерных системах посвящена Лекция 4, в которой объясняются основные понятия и положения защиты информации в компьютерных системах (КС). Приводятся основные угрозы безопасности информации в КС, рассматриваются основные методы и средства несанкционированного доступа к информации. Обсуждаются способы защиты информации в КС. Анализируются методы криптографической защиты. Классифицируются вредоносные программы и методы борьбы с ними.
Защита информации в телекоммуникационных системах описана в Лекции 5. В ней рассмотрены угрозы безопасности современных вычислительных сетей. Проанализированы понятия, определения и вопросы управления рисками. Приведены материалы исследований по хакерам. Подведены итоги пяти лекций по обеспечению информационной безопасности. Рассмотрены межсетевые экраны и системы обнаружения вторжений.
ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОВД
Мы уже ранее останавливались на понятии информационной безопасности, которая в наиболее общем виде может быть определена каксостояние защищенности потребностей личности, общества и государства в информации, при котором обеспечиваются их существование и прогрессивное развитие независимо от наличия внутренних и внешних информационных угроз . Конкретизируем данное понятие применительно к тем целям и задачам, которые стоят перед правоохранительными органами на современном этапе. Для этого, прежде всего, обратимся к родовому понятию – понятию «безопасность».
В настоящее время безопасность является неотъемлемой характеристикой прогресса, а понятие безопасности является одним из ключевых при исследовании вопросов оптимизации человеческой деятельности, в том числе и деятельности по борьбе с преступностью.
На протяжении столетий понятие безопасности неоднократно наполнялось разным содержанием и соответственно пониманием его смысла. Так в древности понимание безопасности не выходило за рамки обыденного представления и трактовалось как отсутствие опасности или зла для человека. В таком житейском значении термин «безопасность» употреблялся, например, древнегреческим философом Платоном.
В средние века под безопасностью понимали спокойное состояние духа человека, считавшего себя защищенным от любой опасности. Однако в этом значении данный термин не вошел прочно в лексику народов Европы и до XVII в. использовался редко.
Широкое распространение в научных и политических кругах западноевропейских государств понятие «безопасность» приобретает благодаря философским концепциям Т. Гоббса, Д. Локка, Ж.Ж. Руссо, Б.Спинозы и других мыслителей XVII-XVIII вв., означая состояние, ситуацию спокойствия, появляющуюся в результате отсутствия реальной опасности (как физической, так и моральной).
Именно в этот период предпринимались первые попытки теоретической разработки этого понятия. Наиболее интересной представляется версия, предложенная Зонненфельсом, который считал, что безопасность – это такое состояние, при котором никому нечего опасаться. Для конкретного человека такое положение означало частную, личную безопасность, а состояние государства, при котором нечего опасаться, составляло общественную безопасность.
В настоящее время безопасность традиционно понимается как такое состояние, в котором жизненно важные интересы человека, общества, государства и международной системы защищены от любой внутренней или внешней угрозы. С этой точки зрения безопасность может быть определена как невозможность нанесения вреда кому-нибудь или чему-нибудь вследствие проявления угроз, т.е. их защищенность от угроз .
Следует отметить, что данный подход нашел наибольшее признание как в научной среде, так и в сфере законотворческой деятельности.
В общеметодологическом плане в структуре понятия «безопасность» выделяют:
q объект безопасности;
q угрозы объекту безопасности;
q обеспечение безопасности объекта от проявлений угроз.
Ключевым элементом определения содержания понятия «безопасность» является объект безопасности, т.е. то, что защищается от угроз. Выбирая в качестве объекта безопасности информацию, циркулирующую в органах внутренних дел, а также деятельность подразделений полиции, связанную с производством и потреблением информации мы можем говорить об их информационной безопасности – безопасности их «информационного измерения».
В действующем российском законодательстве под информационной безопасностью понимается «состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства» (Доктрина информационной безопасности Российской Федерации). При этом, под информационной сферой общества понимается совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений .
Исходя из отмеченного, под информационной безопасностью органов внутренних дел понимается состояние защищенности информации, информационных ресурсов и информационных систем ОВД, при котором обеспечивается защита информации (данных) от утечки, хищения, у граты, несанкционированного доступа, уничтожения, искажения, модификации, подделки, копирования, блокирования (Концепция обеспечения информационной безопасности органов внутренних дел Российской Федерации до 2020 года, утвержденная приказом МВД России от 14.03.2012 № 169). Структура данного понятия приведена на рис. 4. Рассмотрим ее подробнее.
Рис. 4. Структура понятия «информационная безопасность ОВД»
Объект информационной безопасности ОВД . Как мы уже отмечали, в качестве объекта информационной безопасности выступают:
q информационные ресурсы органов внутренних дел, используемые при решении служебных задач, в том числе содержащие информацию ограниченного доступа, а также специальные сведения и оперативные данные служебного характера.
Информация, используемая в органах внутренних дел, содержит сведения о состоянии преступности и общественного порядка на обслуживаемой территории, о самих органах и подразделениях, их силах и средствах. В дежурных частях, у оперработников, участковых инспекторов полиции, следователей, сотрудников экспертно-криминалистических подразделений, миграционной службы, других подразделений на документах первичного учета, и учетных журналах и на других носителях накапливаются массивы данных оперативно-розыскного и оперативно-справочного назначения, в которых содержатся сведения о:
– правонарушителях и преступниках;
– владельцах автомототранспортных средств;
– владельцах огнестрельного оружия;
– событиях и фактах криминального характера, правонарушениях;
– похищенных и изъятых вещах, предметах антиквариата, а также другая, подлежащая хранению информация.
Службы и подразделения органов внутренних дел характеризуются данными:
– о силах и средствах, которыми располагает орган;
– о результатах их деятельности.
Перечисленные выше сведения используются при организации работы подразделений, при принятии практических мер по борьбе с преступностью и правонарушениями.
Кроме указанных сведений широко используется научная и техническая информация, необходимая для совершенствования деятельности органов внутренних дел.
Особо следует выделить информацию, используемую органами внутренних дел при раскрытии и расследовании преступлений. К подобного рода информации можно отнести, в том числе:
Все виды доказательств по уголовному делу;
Материалы уголовного дела;
Сведения о ходе расследования уголовного дела (т.е. совокупность оперативной и процессуальной информации о расследуемом событии, планы проведения оперативно-розыскных и процессуальных действий);
Сведения о сотрудниках правоохранительных органов, принимающих участие в расследовании преступления;
Сведения о подозреваемых и обвиняемых по делу лицах;
Сведения о потерпевших, свидетелях и иных лицах, содействующих в расследовании преступления и др.
Помимо отмеченных, защите также подлежит информация ограниченного доступа физических и юридических лиц, к которой должностные лица подразделений полиции получают доступ при выполнении служебных обязанностей, в частности, при раскрытии и расследовании преступлений;
q информационная инфраструктура органов внутренних дел под которой понимается совокупность методов, средств и технологий реализации информационных процессов (т.е. процессов создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации), необходимо осуществляемых в ОВД при выполнении возложенных на них законом задач .
К информационной инфраструктуре ОВД относятся прежде всего используемые в практической деятельности правоохранительных органов информационные системы , сети и сети связи (в том числе и общего пользования).
К информационной инфраструктуре органов внутренних дел безусловно следует отнести и используемые в практической деятельности ОВД информационные технологии – процессы, использующие совокупность средств и методов сбора, обработки и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса или явления (информационного продукта).
К числу объектов информационной инфраструктуры относятся и помещения , в которых протекают информационные процессы, осуществляемые в ходе осуществления служебной деятельности, обработки информации на ЭВМ и др.
Угрозы объекту информационной безопасности . Организация обеспечения информационной безопасности органов внутренних дел должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.
Исходя их данного принципа, моделирование и классификацию источников угроз информационным ресурсам и информационной инфраструктуре ОВД целесообразно проводить на основе анализа взаимодействия логической цепочки:
Источники угроз. В теории защиты информации под источниками угрозы конфиденциальной информации понимают потенциальные носители угрозы безопасности информации , которые в зависимости от природы подразделяют на антропогенные (вызванные деятельностью человека), техногенные или стихийные . По отношению к самому объекту безопасности источники угроз подразделяются на внешние и внутренние .
Анализ положений Доктрины информационной безопасности Российской Федерации, а также иных нормативно-правовых документов в области информационной безопасности позволяет выделить следующие основные источники угроз информационной безопасности органов внутренних дел.
К основным внешним источникам угроз информационной безопасности органов внутренних дел относятся:
Разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации специальных подразделений и органов внутренних дел Российской Федерации;
Деятельность иностранных государственных и частных коммерческих структур, а также отечественных преступных группировок и коммерческих организаций, стремящихся получить несанкционированный доступ к информационным ресурсам правоохранительных органов;
Стихийные бедствия и природные явления (пожары, землетрясения, наводнения и др. непредвиденные обстоятельства);
Различного рода техногенные аварии;
Отказы и неисправности, сбои в работе элементов информационной инфраструктуры, вызванных ошибками в их проектировании и/или изготовлении.
К основным внутренним источникам угроз информационной безопасности органов внутренних дел относятся:
Нарушение установленного регламента сбора, обработки, хранения и передачи информации, используемой в практической деятельности ОВД, в том числе содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений;
Отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
Использование несертифицированного программного обеспечения, нарушающего нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
Преднамеренные действия, а также ошибки персонала, непосредственно занятого обслуживанием информационных систем, используемых в органах внутренних дел, в том числе занятого формированием и ведением картотек и автоматизированных банков данных;
Невозможность или нежелание обслуживающего персонала и/или пользователей информационных систем ОВД выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Уязвимости. Под уязвимостью в контексте рассматриваемого вопроса полагаем необходимым понимать причины, приводящие к нарушению установленного режима защиты информации в органах внутренних дел . К числу таких причин можно отнести, например:
Неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
Недостаточность законодательного и нормативного регулирования информационного обмена в правоохранительной сфере;
Недостаточная координация деятельности органов внутренних дел и их подразделений по реализации единой политики в области обеспечения информационной безопасности;
Недостаточная активность в информировании общества о деятельности ОВД в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
Недостаточное финансирование мероприятий по обеспечению информационной безопасности органов внутренних дел;
Снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
Отсутствие единой методологии сбора, обработки и хранения информации оперативно-разыскного, справочного, криминалистического и статистического характера и др;
Наличие таких особенностей конструктивного исполнения и технических характеристик элементов информационной инфраструктуры, которые могут привести к нарушению целостности, доступности и конфиденциальности объектов безопасности. Так, например, используемый в глобальной электронной сети Интернет протокол TCP/IP изначально разрабатывался без учета требований информационной безопасности, а большая часть используемого в практической деятельности ОВД программного обеспечения содержит массу ошибок и недокументированных возможностей.
Угрозы. Перечисленные уязвимости порождают соответствующие угрозы безопасности информации и информационной инфраструктуре органов внутренних дел. При этом под угрозами объекту информационной безопасности будем понимать совокупность условий и факторов, создающих потенциальную или реальную опасность утечки, хищения, утраты, уничтожения, искажения, модификации, подделки, копирования, блокирования информации и несанкционированного доступа к ней .
Однако, и это необходимо подчеркнуть, угроза объекту безопасности не является чем-то, существующим самостоятельно. Она суть либо проявление взаимодействия объекта безопасности с другими объектами, способное нанести вред его функционированию и свойствам, либо подобное проявление взаимодействия подсистем и элементов самого объекта безопасности.
Безопасность информационных ресурсов и информационной инфраструктуры органов внутренних дел проявляется через безопасность их наиболее важных свойств, к числу которых относят:
q целостность – свойство информации и информационной инфраструктуры, характеризующееся способностью противостоять несанкционированному или непреднамеренному уничтожению и искажению информации;
q доступность – свойство информации и информационной инфраструктуры, характеризующееся способностью обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия;
q конфиденциальность – свойство информации и информационной инфраструктуры, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право ознакомления с ней.
Нарушение указанных свойств объектов информационной безопасности ОВД и представляет собой угрозы информационной безопасности органов внутренних дел. Проявление этих угроз осуществляется путем:
q нарушения целостности информации в результате ее:
- утраты (хищения). Заключается в «выведении» информации и/или ее носителей из информационной сферы органов внутренних дел, приводящем к невозможности дальнейшего использования этой информации в деятельности ОВД;
- уничтожения. Уничтожение – это такое воздействие на циркулирующую в органах внутренних дел информацию и/или ее носители, в результате которого они прекращают свое существование или приводятся в такое состояние, которое обуславливает невозможность их дальнейшего использования в практической деятельности ОВД;
- искажения (модификации, подделки) , т.е. в результате такого воздействия на информацию, которое приводит к изменению ее (информации) смыслового содержания, созданию и/или навязыванию ложных носителей информации;
q нарушения доступности информации в результате ее:
- блокирования, т.е. прекращения или воспрепятствования доступу к информации уполномоченных на то лиц;
- утраты ;
q нарушения конфиденциальности информации в результате:
- несанкционированного разглашения информации. Представляет собой умышленные или неумышленные действия лиц, имеющих доступ к не подлежащей разглашению информации, способствующие несанкционированному ознакомлению с этой информацией третьих лиц.;
- несанкционированного ознакомления с информацией. Представляет собой умышленные или неумышленные действия лиц, не имеющих права доступа к информации, по ознакомлению с таковой.
Обеспечение информационной безопасности . Мы уже отмечали, что информационная безопасность органов внутренних дел – это защищенность информационных ресурсов и поддерживающей информационной инфраструктуры ОВД от угроз, т.е. невозможность им какого-либо ущерба, вреда. Поскольку и информационные ресурсы и информационная инфраструктура ОВД не существуют сами по себе, вне практической деятельности органов внутренних дел, а собственно говоря являются одними из средств этой деятельности, то вполне очевидно, что их защищенность может быть обеспечена только лишь путем создания таких условий деятельности органов внутренних дел, при которых потенциально опасные для объектов безопасности воздействия либо предупреждались, либо сводились к такому уровню, при котором они не способны нанести им ущерб.
Таким образом, обеспечение информационной безопасности органов внутренних дел – это процесс создания таких условий осуществления деятельности органов внутренних дел, при которых потенциально опасные для информационных ресурсов и информационной инфраструктуры ОВД воздействия на них либо предупреждались, либо сводились к уровню, не препятствующему решению стоящих перед органами внутренних дел задач .
Из данного определения ясно видно, что обеспечение информационной безопасности носит вспомогательный характер в системе деятельности органов внутренних дел, поскольку направлено на создание условий достижения основных целей органов внутренних дел – прежде всего, эффективной борьбы с преступностью.
Обеспечение информационной безопасности ОВД имеет свою внешнюю и внутреннюю направленность . Внешняя направленность подобного рода деятельности обусловлена необходимостью обеспечения законных прав и интересов правообладателей охраняемой законом информации, вовлеченной в сфере деятельности органов внутренних дел.
Внутренняя направленность деятельности по обеспечению информационной безопасности ОВД обусловлена необходимостью реализации задач и достижения целей, стоящих перед органами внутренних дел – прежде всего, выявление, раскрытие, расследование и профилактика преступлений. Иными словами, она создает предпосылки для успешного выполнения стоящих перед органами внутренних дел задач.
Деятельность по обеспечению информационной безопасности осуществляется на основе некоторой совокупности наиболее важных, ключевых идей и положений, называемых принципами. К числу таких основополагающих принципов следует отнести следующие:
Гуманизм;
Объективность;
Конкретность;
Эффективность;
Сочетание гласности и служебной тайны;
Законность и конституционность;
Соответствие выбранных средств и методов цели противодействия;
Комплексность.
Принцип гуманизма заключается в обеспечении прав и свобод человека и гражданина при осуществлении противодействия угрозам информационной безопасности, в недопущении противоправных посягательств на его личность, унижения чести и достоинства человека, произвольного вмешательства в его частную жизнь, личную и семейную тайны, ограничения свободы его информационной деятельности, а также в минимизации ущерба этим правам и свободам, когда их ограничение осуществляется на законных основаниях.
Принцип объективности заключается в учете при осуществлении противодействия объективных закономерностей общественного развития, взаимодействия общества с окружающей средой, реальных возможностей субъектов обеспечения информационной безопасности ликвидировать угрозу или минимизировать последствия ее реализации. Этот принцип требует комплексного, системного подхода к определению способов достижения целей деятельности при наименьших затратах сил и средств.
Принцип конкретности заключается в обеспечении безопасности применительно к конкретным жизненным обстоятельствам с учетом разнообразных форм проявления объективных законов на основе достоверной информации как о внутренних и внешних угрозах, так и о возможностях по противодействию им. Достоверная информация позволяет установить конкретные формы проявлении угроз, определить в соответствии с этим цели и действия по обеспечению безопасности, конкретизировать методы противодействия угрозам, необходимые для их реализации силы и средства.
Принцип эффективности заключается в достижении целей противодействия при наименьших затратах сил и средств. Обеспечение информационной безопасности в любой социальной общности требует определенных материальных, финансовых и людских ресурсов. Исходя из этого, обеспечение безопасности, как и всякая общественно полезная деятельность людей, должна осуществляться рационально и эффективно. Обычно к критериям эффективности, которые применяются на практике, относят отношение размера предотвращенного ущерба от реализации угроз к затратам на противодействие этим угрозам.
Принцип сочетания гласности и тайны заключается в нахождении и поддержании необходимого баланса между открытостью деятельности по обеспечению информационной безопасности, позволяющей добиться доверия и поддержки общества, а с другой – в защите служебной информации ОВД, разглашение которой может снизить эффективность противодействия угрозам безопасности.
Принцип законности и конституционности означает осуществление всех свойственных государственным организациям и должностным лицам функций в строгом соответствии с действующей конституцией, законами и подзаконными актами, согласно установленной в законодательном порядке компетенции. Строгое и неуклонное соблюдение законности и конституционности должно быть непременным требованием, принципом деятельности не только государственных, но и негосударственных органов, учреждений и организаций.
Принцип соответствия выбранных средств и методов цели противодействия означает, что данные средства и методы должны, с одной стороны, быть достаточны для достижения цели, а с другой – не приводить к нежелательным для общества последствиям.
Принцип комплексности использования имеющихся сил и средств заключается в согласованной деятельности субъектов противодействия угрозам информационной безопасности и согласованного применения имеющихся для этого ресурсов.
Являясь видом обеспечения безопасности, обеспечение информационной безопасности обладает сложной структурой, включающей цели, средства и субъекты этой деятельности .
В качестве целей деятельности по обеспечению информационной безопасности органов внутренних дел можно выделить следующие:
q ликвидация (предупреждение) угроз безопасности;
q минимизация ущерба от проявления угроз.
Ликвидация (предупреждение) угроз как цель обеспечения информационной безопасности представляет собой такой характер взаимодействия объекта безопасности и источника угроз, при котором эти источники перестают обладать свойством порождения угрозы.
Минимизация последствий реализации угрозы как цель деятельности по обеспечению информационной безопасности возникает тогда, когда ликвидация (предупреждение) угроз не представляется возможной. Эта цель представляет собой такой характер взаимодействия объекта безопасности и источника угроз, при котором проявляющиеся угрозы своевременно выявляются, осуществляется выяснение и устранение причин, способствующих этому процессу, а также ликвидация последствий проявления угроз.
Средства обеспечения информационной безопасности – это совокупность правовых, организационных и технических средств, предназначенных для обеспечения информационной безопасности.
Все средства обеспечения информационной безопасности можно разделить на две группы:
q формальные;
q неформальные.
К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей.
Формальные средства делятся на физические , аппаратные и программные .
Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.
Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.
Физические и аппаратные средства объединяются в класс технических средств защиты информации.
Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др.
Неформальные средства делятся на организационные, правовые и морально-этические.
Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.
Правовые средства – существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.
Морально-этические нормы – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.
Морально-этические методы защиты информации можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации, или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.
Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного о сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
Субъектами обеспечения информационной безопасности являются органы, организации и лица, уполномоченные законом на осуществление соответствующей деятельности . К ним относятся, прежде всего, руководители органов внутренних дел, сотрудники соответствующих подразделений ОВД, занимающиеся вопросами обеспечения информационной безопасности (например, сотрудники технических отделов, осуществляющие техническую защиту объектов ОВД), федеральные органы исполнительной власти, осуществляющие надзорные функции в пределах их компетенции (например, ФСБ в части обеспечения сохранности сведений, составляющих государственную тайну) и др.
Заключение
В органах внутренних дел уделяется серьезное внимание вопросам сохранения секретных сведений, воспитанию у сотрудников высокой бдительности. Одна некоторыми из них часто недооценивается опасность утечки таких сведений. Они проявляют граничащую с преступной халатностью беспечность при обращении с секретными документами, что нередко приводит к разглашению сведений, составляющих государственную тайну, и даже к утрате секретных изделий и документов. При этом некоторыми работниками органов внутренних дел устанавливаются и поддерживаются сомнительные нежелательные связи, разглашаются посторонним лицам сведения о методах и формах работы органов внутренних дел. Низкие профессиональные качества отдельных сотрудников нередко ведут к нарушению конспиративности проводимых мероприятий. Цель настоящего курса разобраться, что же такое информационная безопасность, как и, какими средствами ее можно обеспечить и избежать тех негативных последствий, которые могут наступить для вас наступить, если произойдет утечка конфиденциальной информации.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Введение
1. Основные угрозы информационной безопасности, возникающие в процессе деятельности оперативных подразделений органов внутренних дел
2. Понятие и цели проведения специальных проверок объектов информатизации; основные этапы проведения проверки
3. Аппаратные и программно-аппаратные средства криптозащиты данных
Заключение
Список литературы
Введение
В Федеральном законе РФ «Об информации, информатизации и защите информации», принятом 25 января 1995 года Государственной Думой, определено, что «информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления». Информация имеет ряд особенностей: она нематериальна; информация хранится и передается с помощью материальных?носителей; любой материальный объект содержит информацию о самом себе или?о другом объекте.
Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.
По результатам одного исследования около 58% опрошенных пострадали от компьютерных взломов за последний год. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66% потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов.
От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации. Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.
1. Основные угрозы информационной безопасности, возникающие в процессе деятельности оперативных подразделений органов внутренних дел
Развитие информационных и телекоммуникационных технологий привело к тому, что современное общество в огромной мере зависит от управления различными процессами посредством компьютерной техники, электронной обработки, хранения, доступа и передачи информации. Согласно информации Бюро специальных технических мероприятий МВД России, в прошлом году было зафиксировано более 14 тыс. преступлений, связанных с высокими технологиями, что немного выше, чем в позапрошлом году. Анализ складывающейся ситуации показывает, что около 16% злоумышленников, действующих в «компьютерной» сфере криминала, - это молодые люди в возрасте до 18 лет, 58% - от 18 до 25 лет, причем около 70% из них имеют высшее либо незаконченное высшее образование.
При этом, 52% установленных правонарушителей имели специальную подготовку в области информационных технологий, 97% были сотрудниками государственных учреждений и организаций, использующими ЭВМ и информационные технологии в своей повседневной деятельности, 30% из них имели непосредственное отношение к эксплуатации средств компьютерной техники.
По неофициальным экспертным оценкам, из 100% возбуждаемых уголовных дел около 30% доходят до суда и только 10-15% подсудимых отбывают наказание в тюрьме Комплексный технический контроль эффективности мер безопасности систем управления в органах внутренних дел // Под ред. Чекалина А. - М.: Горячая Линия - Телеком, 2006 . Большинство дел переквалифицируются или прекращаются за недостаточностью улик. Реальное положение дел по странам СНГ - вопрос из области фантастики. Компьютерные преступления относятся к преступлениям с высокой латентностью, отображающей существование в стране той реальной ситуации, когда определенная часть преступности остается неучтенной.
Серьезную опасность для всего мирового сообщества представляет все более распространяющийся технологический терроризм, составной частью которого является информационный или кибернетический терроризм.
Мишенями террористов становятся компьютеры и созданные на их основе специализированные системы - банковские, биржевые, архивные, исследовательские, управленческие, а также средства коммуникации - от спутников непосредственного телевещания и связи до радиотелефонов и пейджеров.
Методы информационного терроризма совершенно иные, нежели традиционного: не физическое уничтожение людей (или его угроза) и ликвидация материальных ценностей, не разрушение важных стратегических и экономических объектов, а широкомасштабное нарушение работы финансовых и коммуникационных сетей и систем, частичное разрушение экономической инфраструктуры и навязывание властным структурам своей воли.
Опасность информационного терроризма неизмеримо возрастает в условиях глобализации, когда средства телекоммуникаций приобретают исключительную роль.
В условиях кибернетического терроризма возможная модель террористического воздействия будет иметь «трехступенчатый» вид: первая ступень - это выдвижение политических требований с угрозой в случае их невыполнения парализовать всю экономическую систему страны (во всяком случае, ту ее часть, которая использует в работе компьютерные технологии), вторая - произвести демонстрационную атаку на информационные ресурсы достаточно крупной экономической структуры и парализовать ее действие, а третья - повторить требования в более жесткой форме, опираясь на эффект демонстрации силы.
Отличительной чертой информационного терроризма является его дешевизна и сложность обнаружения. Система Internet, связавшая компьютерные сети по всей планете, изменила правила, касающиеся современного оружия. Анонимность, обеспечиваемая Internetoм, позволяет террористу стать невидимым, как следствие, практически неуязвимым и ничем (в первую очередь жизнью) не рискующим при проведении преступной акции.
Положение усугубляется тем, что преступления в информационной сфере, в число которых входит и кибернетический терроризм, влекут за собой наказание существенно меньшее, чем за осуществление «традиционных» террористических актов. В соответствии с Уголовным кодексом РФ (ст. 273), создание программ для ЭВМ или внесение изменений в существующие программы, которые заведомо приводят к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказывается лишением свободы на срок максимум до семи лет. Для сравнения, в США законы карают несанкционированное проникновение в компьютерные сети заключением сроком до 20 лет.
Основой обеспечения эффективной борьбы с кибернетическим терроризмом является создание эффективной системы взаимосвязанных мер по выявлению, предупреждению и пресечению такого рода деятельности. Для борьбы с терроризмом во всех его проявлениях работают различные антитеррористические органы. Особое внимание борьбе с терроризмом уделяют развитые страны мира, считая его едва ли не главной опасностью для общества.
Угрозы информационной безопасности страны, источниками которых являются современная преступность, преступные национальные и транснациональные сообщества, по своей совокупности и масштабам воздействия охватывающие всю территорию страны и затрагивающие все сферы жизнедеятельности общества, обусловливают необходимость рассмотрения борьбы между организованной преступностью и призванными ей противостоять правоохранительными органами, прежде всего, органами внутренних дел, как информационную войну, основной формой ведения которой и ее специфическим содержанием являются информационная борьба с использованием информационно-вычислительных и радиосредств, средств радиотехнической разведки, информационно-телекоммуникационных систем, включая каналы космической связи, геоинформационных систем и иных информационных систем, комплексов и средств.
В условиях современного состояния преступности обеспечить информационную безопасность в деятельности органов внутренних дел невозможно только на основе применения защитных средств и механизмов. В этих условиях необходимо вести активные наступательные (боевые) действия с использованием всех видов информационного оружия и других наступательных средств в целях обеспечения превосходства над преступностью в информационной сфере Смирнов А. А. Обеспечение информационной безопасности в условиях виртуализации общества. - М.: Юнити-Дана, 2012 .
Появление и развитие новых масштабных явлений в жизни страны и общества, новых угроз национальной безопасности со стороны преступного мира, в распоряжении которого находится современное информационное оружие, и новых условий осуществления оперативно-служебной деятельности органов внутренних дел, определяемых потребностями ведения информационной войны с национальной и транснациональной в своей основе организованной преступностью, обусловливают необходимость соответствующего законодательного, государственно-правового регулирования отношений в сфере информационной безопасности государства в целом и органов внутренних дел в частности.
К основным мероприятиям государственно-правового характера по обеспечению информационной безопасности, осуществляемым, в том числе, и органами внутренних дел, предлагается отнести: формирование режима и охраны в целях исключения возможности тайного проникновения на территорию размещения информационных ресурсов; определение методов работы с сотрудниками при подборе и расстановке персонала; проведение работы с документами и документированной информацией, включая разработку и использование документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение; определение порядка использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации; создание технологии анализа внутренних и внешних угроз конфиденциальной информации и выработки мер по обеспечению ее защиты; осуществление систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Анализ действующего российского законодательства в области информационной безопасности и государственной системы защиты информации позволяет выделить важнейшие полномочия органов внутренних дел в сфере обеспечения информационной безопасности государства: отражение информационной агрессии, направленной против страны, комплексная защита информационных ресурсов, а также информационно-телекоммуникационной структуры государства; недопущение и разрешение международных конфликтов и инцидентов в информационной сфере; предупреждение и пресечение преступлений и административных правонарушений в информационной сфере; защита иных важных интересов личности, общества и государства от внешних и внутренних угроз.
Правовая защита информации, как ресурса, признана на международном и государственном уровнях. На международном уровне она определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном же уровне правовая защита регулируется государственными и ведомственными актами.
К основным направлениям развития российского законодательства в целях защиты информации органов внутренних дел целесообразно отнести:
Законодательное закрепление механизма отнесения объектов информационной инфраструктуры органов внутренних дел к критически важным и обеспечение их информационной безопасности, включая разработку и принятие требований к техническим и программным средствам, используемым в информационной инфраструктуре этих объектов;
Совершенствование законодательства об оперативно-розыскной деятельности в части создания необходимых условий для проведения оперативно-розыскных мероприятий в целях выявления, предупреждения, пресечения и раскрытия компьютерных преступлений и преступлений в сфере высоких технологии; усиления контроля за сбором, хранением и использованием органами внутренних дел информации о частной жизни граждан, сведений, составляющих личную, семейную, служебную и коммерческую тайны; уточнения состава оперативно-розыскных мероприятий;
Усиление ответственности за преступления в сфере компьютерной информации и уточнение составов преступлений с учетом Европейской конвенции о кибернетической преступности;
Совершенствование уголовно-процессуального законодательства в целях создания условий для правоохранительных органов, обеспечивающих организацию и осуществление оперативного и эффективного противодействия преступности, осуществляемого с использованием информационно-телекоммуникационных технологий для получения необходимых доказательств Расторгуев С. П. Основы информационной безопасности - М.: Академия, 2009 .
Организационно-управленческие меры являются решающим звеном формирования и реализации комплексной защиты информации в деятельности органов внутренних дел.
При обработке или хранении информации органам внутренних дел в рамках защиты от несанкционированного доступа рекомендуется проведение следующих организационных мероприятий: выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите; определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено; установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам защиты; ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации; получение от объекта доступа расписки о неразглашении доверенной ему конфиденциальной информации.
В соответствии с Законом Российской Федерации «О полиции», к компетенции МВД России отнесены функции по формированию общегосударственных справочно-информационных фондов оперативного и криминалистического учета. Выполнение этих функций осуществляется информационными и техническими подразделениями служб МВД России во взаимодействии с подразделениями криминальной милиции, милиции общественной безопасности, пенитенциарными учреждениями, другими правоохранительными органами, правительственными учреждениями и организациями, ведающими вопросами общественной безопасности, а также правоохранительными органами (полицией) иных государств.
Информационное взаимодействие в сфере борьбы с преступностью ведется в рамках законов Российской Федерации «Об оперативно-розыскной деятельности», «О безопасности», «Об учетах и учетной деятельности в правоохранительных органах», действующих уголовного и уголовно-процессуального законодательства, международных соглашений МВД России в сфере обмена информацией, Положения о МВД России, приказов Министра внутренних дел России.
Исследования показали, что концептуальные положения обеспечения информационной безопасности правоохранительных органов должны включать требования к переходу к единой нормативно-правовой базе, регулирующей процессы использования информации в борьбе с преступностью. При этом в системе министерства внутренних дел вместо многочисленной группы ведомственных актов предлагается ввести три группы нормативно-правовых документов по информационному обеспечению: отраслевые, общего пользования; отраслевые, по линиям служб; нормативно-правовую документацию местного уровня управления по локальным прикладным проблемам информационного обеспечения территориального органа внутренних дел.
2. Понятие и цели проведения специальных проверок объектов информатизации; основные этапы проведения проверки
Объект информатизации - совокупность средств информатизации вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи защищаемой информации, а также выделенные помещения Партыка Т. Л. , Попов И. И. Информационная безопасность - М.: Форум, 2012 .
Средства информатизации - средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.
Средства вычислительной техники - электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных.
Объект вычислительной техники (ВТ) - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.
К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Выделенное помещение (ВП) - специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.
Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них.
Техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.
К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кинопроекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.
Автоматизированная система (AC) - комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.
Специальная проверка это проверка технического средства обработки информации осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).
Аттестат объекта защиты - документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.
Аттестат выделенного помещения - документ, выдаваемый органом по аттестации (сертификации) или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.
Предписание на эксплуатацию - документ, содержащий требования по обеспечению защищенности технического средства обработки информации в процессе его эксплуатации.
Программа аттестационных испытаний - обязательный для выполнения, организационно-методический документ, устанавливающий объект и цели испытании, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний.
Методика аттестационных испытаний - обязательный для выполнения, организационно методический документ, включающий метод испытаний, средства и условия испытаний, отбор образцов, алгоритм выполнения операций. По определению одной или нескольких взаимосвязанных характеристик защищенности объекта формы представления данных и оценивания точности, достоверности результатов.
Протокол аттестационных испытаний - документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации.
К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
Различного рода телефонные средства и системы;
Средства и системы передачи данных в системе радиосвязи;
Средства и системы охранной и пожарной сигнализации;
Средства и системы оповещения и сигнализации;
Контрольно-измерительная аппаратура;
Средства и системы кондиционирования;
Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
Средства электронной оргтехники Величко М.Ю. Информационная безопасность в деятельности органов внутренних дел. - М.: Изд-во ИНИОН РАН, 2007 .
По результатам аттестационных испытаний по различным направлениям и компонентам составляются Протоколы испытаний. На основании протоколов принимается Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями. В случае если объект информатизации соответствует установленным требованиям по безопасности информации, на него выдается Аттестат соответствия.
Переаттестация объекта информатизации производится в случае, когда на недавно аттестованном объекте были произведены изменения. К таким изменениям может быть отнесено:
Изменение расположения ОТСС или ВТСС;
Замена ОТСС или ВТСС на другие;
Замена технических средств защиты информации;
Изменения в монтаже и прокладке слаботочных и соловых кабельных линии;
Несанкционированное вскрытие опечатанных корпусов ОТСС или ВТСС;
Производство ремонтно-строительных работ в выделенных помещениях и пр Партыка Т. Л. , Попов И. И. Информационная безопасность - М.: Форум, 2012 .
В случае необходимости переаттестации объекта информатизации повторная аттестация производятся, по упрощенной программе Упрощения заключаются, в том, что испытаниям подвергаются только элементы, подвергшиеся изменениям.
3. Аппаратные и программно-аппаратные средства криптозащиты данных
Любая компьютерная система (КС) использует стандартное и специализированное оборудование и программное обеспечение, выполняющее определенный набор функций: аутентификацию пользователя, разграничение доступа к информации, обеспечение целостности информации и ее защиты от уничтожения, шифрование и электронную цифровую подпись и др. информационный безопасность криптозащита
Целостность и ограничение доступа к информации обеспечиваются специализированными компонентами системы, использующими криптографические методы защиты. Для того чтобы компьютерной системе можно было полностью доверять, ее необходимо аттестовать, а именно:
- определить множество выполняемых функций;
- доказать конечность этого множества;
- определить свойства всех функций Гафнер В. В. Информационная безопасность - Ростов на Дону: Феникс, 2010 .
Отметим, что в процессе функционирования системы невозможно появление в ней новой функции, в том числе и в результате выполнения любой комбинации функций, заданных при разработке. Здесь мы не будем останавливаться на конкретном составе функций, поскольку они перечислены в соответствующих руководящих документах Федерального агентства правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (ГТК) России.
При использовании системы ее функциональность не должна нарушаться, иными словами, необходимо обеспечить целостность системы в момент ее запуска и в процессе функционирования.
Надежность защиты информации в компьютерной системе определяется:
- конкретным перечнем и свойствами функций КС;
- используемыми в функциях КС методами;
- способом реализации функций КС.
Перечень используемых функций соответствует классу защищенности, присвоенному КС в процессе сертификации, и в принципе одинаков для систем одного класса. Поэтому при рассмотрении конкретной КС следует обратить внимание на используемые методы и способ реализации наиболее важных функций: аутентификацию и проверку целостности системы. Здесь следует отдать предпочтение криптографическим методам: шифрования (ГОСТ 28147-89), электронной цифровой подписи (ГОСТР 34.10-94) и функции хэширования (ГОСТР 34.11-94), надежность которых подтверждена соответствующими государственными организациями.
Большинство функций современных КС реализованы в виде программ, поддержание целостности которых при запуске системы и особенно в процессе функционирования является трудной задачей. Значительное число пользователей в той или иной степени обладают познаниями в программировании, осведомлены об ошибках в построении операционных систем. Поэтому существует достаточно высокая вероятность применения ими имеющихся знаний для "атак" на программное обеспечение.
В первую очередь к аппаратным СКЗИ для сохранения исторической справедливости следует отнести шифраторы докомпьютерной эры. Это табличка Энея, шифровальный диск Альберти, и, наконец, дисковые шифрующие машины. Самым видным представителем дисковых шифрмашин стал шифратор времен второй мировой войны Enigma . Современные СКЗИ нельзя строго отнести к аппаратным, их было бы правильнее называть аппаратно-программными, однако, поскольку их программная часть неподконтрольна ОС, в литературе их часто называют аппаратными. Основной особенностью аппаратных СКЗИ является аппаратная реализация (за счет создания и применения специализированных процессоров) основных криптографических функций - криптографических преобразований, управления ключами, криптографических протоколов и т. д.
Аппаратно-программные средства криптографической защиты информации сочетают гибкость программного решения с надежностью аппаратного Величко М.Ю. Информационная безопасность в деятельности органов внутренних дел. - М.: Изд-во ИНИОН РАН, 2007 . При этом за счет гибкой программной оболочки можно быстро менять пользовательский интерфейс, конечные функции продукта, производить его конечную настройку; а аппаратная компонента позволяет защитить от модификации алгоритм криптографического примитива, обеспечить высокую защищенность ключевого материала и зачастую более высокую скорость работы.
Приведем несколько примеров аппаратно-программных СКЗИ:
Использование аппаратных средств снимает проблему обеспечения целостности системы. В большинстве современных систем защиты от НСД применяется зашивка программного обеспечения в ПЗУ или в аналогичную микросхему. Таким образом, для внесения изменений в ПО необходимо получить доступ к соответствующей плате и заменить микросхему. В случае использования универсального процессора реализация подобных действий потребует применения специального оборудования, что еще более затруднит проведение атаки. Использование специализированного процессора с реализацией алгоритма работы в виде интегральной микросхемы полностью снимает проблему нарушения целостности этого алгоритма.
На практике зачастую функции аутентификации пользователя, проверки целостности, криптографические функции, образующие ядро системы безопасности, реализуются аппаратно, все остальные функции - программно.
Заключение
Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.
Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath): Кража информации - 64%, Вредоносное ПО - 60%, Хакерские атаки - 48%, Спам - 45%, Халатность сотрудников - 43%, Аппаратные и программные сбои - 21%,Кража оборудования - 6%, Финансовое мошенничество - 5%.
Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.
Знание основных способов совершения и предупреждения компьютерных преступлений, методов борьбы с компьютерными вирусами, а также современных методов защиты информации необходимо для разработки комплекса мероприятий по обеспечению защиты автоматизированных информационных систем органов внутренних дел.
Все это будет способствовать повышению эффективности деятельности органов внутренних дел в целом.
Список литературы
1. Величко М.Ю. Информационная безопасность в деятельности органов внутренних дел. - М.: Изд-во ИНИОН РАН, 2007. - 130 с.
2. Гафнер В. В. Информационная безопасность - Ростов на Дону: Феникс, 2010 - 336 с.
3. Горохов П. К. Информационная безопасность. - М.: Радио и связь, 2012 - 224 с.
4. Комплексный технический контроль эффективности мер безопасности систем управления в органах внутренних дел // Под ред. Чекалина А. - М.: Горячая Линия - Телеком, 2006 - 528 с.
5. Партыка Т. Л. , Попов И. И. Информационная безопасность - М.: Форум, 2012 - 432 с.
6. Расторгуев С. П. Основы информационной безопасности - М.: Академия, 2009 - 192 с.
7. Смирнов А. А. Обеспечение информационной безопасности в условиях виртуализации общества. - М.: Юнити-Дана, 2012 - 160 с.
8. Тепляков А. А. , Орлов А. В. Основы безопасности и надежности информационных систем - Мн.: Академия управления при Президенте Республики Беларусь, 2010 - 310 с.
Размещено на Allbest.ru
...Подобные документы
Понятие и цели проведения специальных проверок объектов информатизации и ее основные этапы. Уязвимость компьютерных систем, понятие несанкционированного доступа, его классы и виды. Уязвимость основных структурно-функциональных информационных элементов.
контрольная работа , добавлен 25.11.2009
Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация , добавлен 25.07.2013
Виды угроз информационной безопасности. Основные направления и мероприятия по защите электронной информации. Атакующие средства информационного воздействия. Информационный криминал, терроризм. Защитные действия, относящиеся к информационной безопасности.
реферат , добавлен 27.12.2011
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа , добавлен 10.06.2011
Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа , добавлен 23.04.2015
Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа , добавлен 19.05.2014
Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа , добавлен 19.02.2017
Сущность понятия "информационная безопасность". Категории модели безопасности: конфиденциальность; целостность; доступность. Информационная безопасность и Интернет. Методы обеспечения информационной безопасности. Основные задачи антивирусных технологий.
контрольная работа , добавлен 11.06.2010
Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация , добавлен 27.12.2010
Понятие "информационной потребности" и "новой информационной технологии". Современные технологические решения в области информатизации объектов агропромышленного комплекса. Эффективность организационного обеспечения Автоматизированного рабочего места.
- Приложение. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации
Приказ МВД РФ от 6 июля 2012 г. N 678
"Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации"
С изменениями и дополнениями от:
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке - приказываю:
2. Начальникам подразделений центрального аппарата МВД России, руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации*(2) требований настоящей Инструкции в части, их касающейся.
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел*(3) .
2.4. Провести в течение 2012-2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(4) и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ.
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить:
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".
Регистрационный N 25488
Утверждена инструкция по организации защиты персональных данных, содержащихся в информационных системах ОВД России.
Для обеспечения их безопасности создается система защиты. Она должна обеспечивать конфиденциальность, целостность и доступность данных при их обработке. Названная система включает в себя организационные и технические меры, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и др.
Выбор и реализация методов и способов защиты информации осуществляются на основе модели угроз и в зависимости от класса информационных систем персональных данных. Классификация проводится подразделением-оператором. Для этого создается специальная комиссия.
Модели угроз разрабатываются для каждой информационной системы на этапе ее создания (модернизации).
Персональные данные обрабатываются только после создания системы защиты и ввода в эксплуатацию информационной системы.
Министерство внутренних дел Российской Федерации
Санкт-Петербургский университет
Кафедра специальных информационных технологий
УТВЕРЖДАЮ
начальник кафедры СИТ
полковник полиции
А.И. Примакин
Рабочая лекция по дисциплине Основы информационной безопасности в ОВД
по теме 1/2 «Основы обеспечения информационной безопасности в ОВД»
Санкт-Петербург
2013 г.
введение
учебные вопросы:
1. Основные термины и определения информационной безопасности.
2. Основные принципы и условия обеспечения информационной безопасности.
Заключение
Контрольные вопросы
Литература
Введение
В предыдущей лекции нами были рассмотрены основные направления государственной политики в области информатизации общества. Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки, искажения, блокирования систем и средств передачи информации, а так же защита сведений конфиденциального характера и государственной тайны. С внедрением в жизнь обывателей информационных технологий мир встал перед проблемой новых информационных отношений связанных с безопасностью информации и информационных процессов.
1. Основные термины и определения информационной безопасности 1
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Система защиты информации. Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Политика безопасности (информации в организации). Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Безопасность информации [данных]. Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
К видам защиты информации относятся:
1. Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
2. Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
3. Техническая защита информации. ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
4. Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования.
Примечания
1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
К способам защиты информации будут относиться:
С пособ защиты информации. Порядок и правила применения определенных принципов и средств защиты информации.
1. Защита информации от утечки. Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.
Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2. З ащита информации от несанкционированного воздействия. ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
3. Защита информации от непреднамеренного воздействия. Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
4. Защита информации от разглашения. Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
5. Защита информации от несанкционированного доступа. ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Примечание.
Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
6. Защита информации от преднамеренного воздействия. ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
7. Защита информации от [иностранной] разведки. Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
К объекту защиты информации относятся
Объект защиты информации. Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
1. Защищаемая информация. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание
Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2. Носитель защищаемой информации . Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
3. Защищаемый объект информатизации. Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
4. Защищаемая информационная система . Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
К угрозам безопасности информации
Угроза (безопасности информации). Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Фактор, воздействующий на защищаемую информацию. Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
Источник угрозы безопасности информации. Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
Уязвимость (информационной системы); брешь . Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Примечания
1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
2. Если уязвимость соответствует угрозе, то существует риск .
1. Вредоносная программа. Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
2. Несанкционированное воздействие на информацию : Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
3. Преднамеренное силовое электромагнитное воздействие на информацию : Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
4. Модель угроз (безопасности информации). Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Примечание
Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.
К способам оценки соответствия требованиям по защите информации относятся:
Оценка соответствия требованиям по защите информации . Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
Лицензирование в области защиты информации . Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
Сертификация на соответствие требованиям по безопасности информации. Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Примечание
К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.
Мониторинг безопасности информации . Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
Анализ информационного риска . Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.
Эффективность защиты информации . Степень соответствия результатов защиты информации цели защиты информации.
Требование по защите информации. Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.
Показатель эффективности защиты информации . Мера или характеристика для оценки эффективности защиты информации.
Норма эффективности защиты информации . Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
2. Основные принципы и условия обеспечения информационной безопасности.
В самом общем смысле информационная безопасность такое состояние информации и среды, которое исключает вред собственнику или владельцу этой информации. В зависимости от того, кто является собственником, встречаются, например, такие определения:
Анализ того, отчего и в чем может выражаться вред собственнику информации, приводит к стандартной модели безопасности , включающей три категории:
- конфиденциальность;
- целостность;
- доступность.
Конфиденциальность это доступность информации только определенному кругу лиц.
Целостность свойство сохранности информация в определенном необходимом виде.
Доступность возможность использования информации собственником при необходимости.
Информационная безопасность определяется способностью государства, общества, личности:
- обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
- противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
- вырабатывать личностные и групповые навыки и умения безопасного поведения;
- поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Цели и задачи системы информационной безопасности
Целью защиты информации является сведение к минимуму потерь, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Основными задачами системы информационной безопасности (ИБ) являются:
- своевременное выявление и устранение угроз безопасности ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу;
- создание механизма и условий оперативного реагирования на угрозы безопасности;
- эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для минимизации и локализации возможного ущерба, ослабления негативного влияния последствий.
Для формирования более детального представления необходимо знание основных принципов организации системы информационной безопасности.
Первым и наиболее важным является принцип непрерывного совершенствования системы информационной безопасности . Суть этого принципа заключается в постоянном выявлении слабых мест системы, которые возникают от изменения характера внутренних и внешних угроз.
Вторым является принцип комплексного использования всех доступных средств защиты во всех структурных элементах организации и на всех этапах работы с информацией. Комплексный характер защиты информации проистекает, прежде всего, из того, что злоумышленники всегда ищут самое слабое звено в системе безопасности.
Важными условиями обеспечения безопасности являются:
- законность,
- достаточность,
- соблюдение баланса интересов личности и организации,
- профессионализм представителей службы безопасности,
- подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности,
- взаимная ответственность персонала и руководства,
- взаимодействие с государственными правоохранительными органами.
Требования к защите информации
С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований .
Защита информации должна быть:
- централизованной ;
необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
Плановой ;
планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
- конкретной и целенаправленной ;
защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
Активной ;
защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
- надежной и универсальной , охватывать весь технологический комплекс информационной деятельности объекта;
методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
Нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
Открытой для изменения и дополнения мер обеспечения безопасности информации;
- экономически эффективной ;
затраты на систему защиты не должны превышать размеры возможного ущерба.
3. Понятие политики безопасности.
Политика безопасности организации (англ. о rganizational security policies ) совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.
Политикой безопасности можно назвать и простые правила использования ресурсов (уровень руководителей), и описания всех соединений и их особенностей (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы. Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.
Действия по управлению сложными организационно-техническими системами должны быть спланированы. Планирование информационной безопасности начинается после проведения анализа рисков и выбора средств защиты информации в соответствии с их ранжированием. Планирование это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Принципиально план защиты включает в себя две группы мероприятий по построению (формированию) системы защиты и по использованию сформированной системы для защиты информации.
Цель планирования:
- координация деятельности соответствующих подразделений по обеспечению информационной безопасности;
- наилучшее использование всех выделенных ресурсов;
- предотвращение ошибочных действий, могущих привести к снижению возможности достижения цели.
Различают два вида планирования : стратегическое или перспективное и тактическое или текущее.
Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.
Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом.
С тактическим планированием связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии планирования.
Планирование включает в себя определение, разработку или выбор:
- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
- требований к системе защиты информации;
- средств и способов функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
- совокупности мероприятий защиты, проводимых в различные периоды времени;
- порядка ввода в действие средств защиты;
- ответственности персонала;
- порядка пересмотра плана и модернизации системы защиты;
- совокупности документов, регламентирующих деятельность по защите информации.
Политика информационной безопасности определяет облик системы защиты информации совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.
Политика безопасности должна гарантировать , что для каждого вида проблем существует ответственный исполнитель . В связи с этим ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации . В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
Нужно уметь четко ответить на следующие вопросы:
- Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
- Можно ли узнать каждый компьютер «в лицо»?
- Можно ли обнаружить «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены?
- Какие задачи и с какой целью решаются на каждом компьютере?
- Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты? Ведь если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вреда.
- Каков порядок ремонта и технической профилактики компьютеров?
- Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
- Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?
Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.
Другими словами, защита информации начинается с постановки и решения организационных вопросов . Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
- появление дополнительных ограничений для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
- необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
- Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
- принятие только организационных мер обеспечения безопасности информации;
- использование только дополнительных технических средств защиты информации.
В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.
Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.
Комплекс мероприятий, необходимых для реализации защиты информации на объекте по времени проведения
Рассмотрим комплекс организационных мер , необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
По времени проведения:
- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
- периодически проводимые (через определенное время) мероприятия;
- мероприятия, проводимые при осуществлении или возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
- постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
Разовые мероприятия:
- общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
- разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
- внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
- оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
- разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну; выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
- организация пропускного режима;
- определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
- организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
- определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
- создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
- определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия:
- Распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
- Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
- Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
- Осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты (периодически с привлечением сторонних специалистов). На основе полученной в результате анализа информации принимать меры по совершенствованию системы защиты.
- Мероприятия по пересмотру состава и построения системы защиты.
Мероприятия, проводимые по необходимости:
- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
- мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).
Постоянно проводимые мероприятия:
- противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т. п.;
- явный и скрытый контроль за работой персонала системы;
- контроль за применением мер защиты.
Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонентов объекта:
Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информа ции и т. д.
Техника. Пересмотр «Плана защиты» может быть вызван подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения . Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.
Документы , регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.
Заключение
Итак, мы рассмотрели основные принципы и условия обеспечения информационной безопасности на объекте и связанную с ней политику безопасности. Зарубежный опыт показывает, что эффективной защитой организации от компьютерных преступлений является введение в ней должности специалиста по компьютерной безопасности (администратора по защите информации), либо создание специальных служб безопасности. Наличие такой службы в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, настоятельно рекомендуются следующие организационные меры:
для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;
определена ответственность за сохранность информационных ресурсов;
налажен периодический контроль за качеством защиты информации;
проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;
организация физической защиты СКТ.
Помимо организационных мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных случайных физических воздействий и преднамеренных действий с защищаемой информацией. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, устройства идентификации личности.
Контрольные вопросы.
- Перечислите виды защиты информации.
- Назовите объекты защиты информации и дайте их определения.
- Назовите способы защиты информации.
- Назовите свойства информации, составляющие модель информационной безопасности.
- Назовите основные принципы информационной безопасности.
- Перечислите условия и требования к защите информации.
- Дайте определения политики безопасности на объекте и сформулируйте требования, предъявляемые к плану защиты информации.
Литература
Основная :
- Аполлонский А. В., Домбровская Л. А., Примакин А. И., Смирнова О. Г., Основы информационной безопасности в ОВД: Учебник для вузов. СПб.: Университет МВД РФ, 2010.
- Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.
Дополнительная :
- Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.
- Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция правовые основы политика. Фонд «Университет». СПб 2001.
- Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. СПб.: Университет МВД РФ, 2004.
Лекция разработана доцентом кафедры специальных информационных технологий
полковником полиции О.Г. Смирновой
1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения»