1. Организационное обеспечение информационной безопасности

Информационные технологии – бурно и динамично развивающаяся отрасль мирового хозяйства.

Серьезную опасность для России представляют стремления ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внутреннего и внешнего рынка информационных услуг, разработка рядом государств концепций «информационных войн», предусматривающих создание средств воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Доктрина информационной безопасности закладывает основы информационной политики государства. http://www.credogarant.ru/

С учетом существующих угроз для защиты национальных интересов России государство планирует активно развивать отечественную индустрию средств информации, коммуникации и связи с последующим выходом продукции на мировой рынок, обеспечивать гарантии безопасности для национальных информационных и телекоммуникационных систем и защиту государственных секретов с помощью соответствующих технических средств.

Одновременно предусматривается повышать эффективность информационного обеспечения деятельности государства.

Принятие данного документа ставит в повестку дня и вопрос о необходимости совершенствования российского законодательства. К примеру, речь идет о принятии законов, касающихся пресечения компьютерной преступности.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Определение понятия «информационная безопасность»

Так, наряду с терминами «безопасность информации», «защита информации» в последнее время используется термин «информационная безопасность.

Задачи обеспечения национальной безопасности России в информационной сфере изложены в Концепции национальной безопасности РФ. http://www.inforeg.ru/norma/Rasp1244-04.html

Ими являются:

– установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

– совершенствование информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

– разработка соответствующей нормативной базы и координация деятельности федеральных органов государственной власти, решающих задачи обеспечения информационной безопасности;

– развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

– защита государственного информационного ресурса, и прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.

На рис. 1.1 показаны методы обеспечения информационной безопасности: теоретические методы; инженерно- технические методы; правовые и организационные методы; сервисы сетевой безопасности

Рис. 1.1. Основные методы обеспечения информационной безопасности

В связи с этим приведем перечень и содержание основных понятий, которые будут использоваться.

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ – состояние защищенности информации, хранимой и обрабатываемой в автоматизированной системе, от негативного воздействия на нее с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ – события или действия, которые могут вызвать нарушение функционирования автоматизированной системы, связанное с уничтожением или несанкционированным использованием обрабатываемой в ней информации.

УЯЗВИМОСТЬ ИНФОРМАЦИИ – возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.

ЗАЩИЩЕННОСТЬ ИНФОРМАЦИИ – поддержание на заданном уровне тех параметров находящейся в автоматизированной системе информации, которые характеризуют установленный статус ее хранения, обработки и использования.

ЗАЩИТА ИНФОРМАЦИИ – процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности.

КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ – целенаправленное регулярное применение в автоматизированных системах средств и методов, а также осуществление мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся значимыми с точки зрения обеспечения безопасности информации.

АВТОМАТИЗИРОВАННАЯ СИСТЕМА – организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения определенного круга прикладных задач.

ИЗНАЧАЛЬНО ЗАЩИЩЕННАЯ ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ – информационная технология, которая, с одной стороны, является унифицированной в широком спектре функциональных приложений, а с другой – изначально содержит все необходимые механизмы для обеспечения требуемого уровня защиты как основного показателя качества информации.

КАЧЕСТВО ИНФОРМАЦИИ – совокупность свойств, буславливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.

Таким образом, при определении понятия «информационная безопасность» на первое место ставится защита информации от различных воздействий.

Поэтому под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.

Согласно ГОСТу 350922-96 защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Решение проблемы информационной безопасности, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем.

Это обусловлено тем, что для разных категорий субъектов характер решаемых задач может существенно различаться. Например, задачи решаемые администратором локальной сети по обеспечению информационной безопасности, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере, не связанном сетью.

Исходя из этого, отметим следующие важные выводы:

– задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться;

– информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации.