Основы информационной безопасности

 

Общепризнанным является факт возрастания  роли информационной безопасности в  общей системе национальной безопасности. При этом под информационной безопасностью понимается "состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства".

 

В последнее время Концепция  национальной безопасности РФ, изло-женная в Указе Президента РФ от 17.12.97г. №1300, претерпела значитель-ные изменения. Указом Президента РФ № 24 от 10.01.2000г. "О  концепции национальной безопасности РФ" в нее были внесены поправки и дополнения.

 

Как известно, эффективное функционирование любой организацион-ной и организационно-технической  системы, в том числе информационной среды, обеспечивается комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Такими регуляторами являются нормы права, которые обеспечивают относительную стабильность системы и ее развитие. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права. В то же время одно государство не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну.

 

Информационное законодательство - это совокупность норм права, регулирующих общественные отношения в информационной сфере.

 

Предметом правового регулирования  в информационной сфере являются:

• создание и распространение информации;
• формирование информационных ресурсов;
• реализация права на поиск, получение, передачу и потребление информации;
• создание и применение информационных систем и технологий;
• создание и применение средств информационной безопасности.

 

Формирование законодательства в  области информационного права  в России началось, в основном, со времени появления "Концепции  правовой информатизации России", утвержденной Указом Президента РФ от 28.06.93г. №966. В  основе информационного законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом - разрешено). Это закреплено в основных международных правовых документах, например, в ст. 3 Всеобщей декларация прав человека от 10.12.48г. и в ст. 29 Конституции РФ, принятой 12.12.93г. В целях реализации этих прав и свобод принимаемые законодательные акты устанавливают гарантии, обязанности, механизмы защиты и ответственность.

 

В настоящее время в стране действуют  следующие нормативные акты, регулирующие отношения в информационной сфере.

- Конституция РФ.

- Федеральные законы:

- Гражданский кодекс РФ;

- Уголовный кодекс РФ;

- Уголовно-процессуальный кодекс  РФ;

- Кодекс РСФСР об административных  правонарушениях;

- Закон "Об информации, информатизации  и защите информации" и др. (всего  около 80 законов);

- Указы и Распоряжения Президента  РФ;

- Постановления Правительства  РФ;

- другие подзаконные акты: местные, ведомственные и внутриоргани-зационные.

 

Совокупность вышеперечисленных  документов составляет правовую базу, обеспечивающую нормативное регулирование  процессов информационного обмена, в том числе и защиту информации.

 

Выделяют 4 уровня правового обеспечения информационной безопасности.

Первый  уровень образуют международные  договоры, к которым присоединилась Российская Федерация, и федеральные  законы России:

• международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
• Конституция РФ (ст. 23, право на тайну переписки);
• Гражданский кодекс РФ (ст. 139, возмещение убытков от утечек);
• Уголовный кодекс РФ (ст. 272-274, неправомерный доступ, распростра-нение вирусов, нарушение правил эксплуатации);
• Федеральный закон "Об информации, информатизации и защите информации" (ст. 10, категории доступа, ст. 21, порядок защиты информации);
• Федеральный закон "О государственной тайне" (ст. 5, перечень сведений, ст. 8, степени секретно, ст. 20, органы защиты, ст. 28, порядок сертификации средств защиты).
• Федеральные законы "О лицензировании отдельных видов деятельности", "О связи", "Об электронной цифровой подписи", "Об авторском праве и смежных правах", "О правовой охране программ для электронных вычислительных машин и баз данных".

 

Второй  уровень составляют подзаконные  акты, к которым относятся указы  Президента РФ, постановления Правительства  РФ, письма Высшего Арбитражного Суда РФ, постановления пленумов Верховного Суда РФ.

 

Третий  уровень составляют государственные  стандарты (ГОСТы) в области защиты информации (ГОСТ Р 50922-96 "Защита информации. Основ-ные термины и определения", ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические  требования", ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"), руководящие документы (руководящие документы Государственной техничес-кой комиссии при Президенте РФ), нормы, методики и классификаторы, разра-ботанные соответствующими органами.

 

Четвёртый уровень образуют локальные нормативные  акты, положения, инструкции, методические рекомендации и другие документы  по комплексной защите информации в  информационных системах конкретной организации (список сведений, составляющих коммерческую тайну предприятия и т.п.).

 

4.Основные технологии  построения защищенных ЭИС (экономических информационных систем).

 

Весь  процесс организации и разработки ЭИС представляется следующими этапами:

1. Предпроектный  анализ:

• исследуется информационные множества объекта автоматизации и представляется документооборот, формы, макеты документов, оригинальная схема данных;
• изучается перечень работ (функций) исследуемого объекта, результаты представляются деревом функций с последующей их формализацией;
• разрабатывается техническое задание (ТЗ): то есть определяется что нужно автоматизировать, описывается информация на входе и выходе и дается общая постановка задачи;
• технико-экономическое обоснование (ТЭО) по необходимости разработки ЭИС.

 

2. Разработка  технического проекта ЭИС, который  задается в виде схемы работы  ЭИС, описывающей технологический  процесс. Каждый шаг технологического  процесса связан с внутримашинной  обработкой данных и с использованием  внутреннемашинной технологии по  реализации задач ЭИС.

 

3. Разработка  внутримашинной технологии обработки  данных (ВТОД) и внутреннего информационного  обеспечения (ВИО). ВТОД представляется  в виде:

• схемы взаимодействия модулей;
• схемы работы каждого модуля и схемы ресурсов модулей.

 

ВИО:

• описание ИО (форм документов входных, выходных, нормативных и их макетов);
• описание баз данных (БД), нормативно-справочной информации, оперативной информации, макетов хранения информации на

машинных  носителях.

4. Рабочий  проект. Построение алгоритмов и  программ, реализующих задачи ЭИС.  Если режим эксплуатации ЭИС  - диалоговый, а режим работы ЭИС  - децентрализованный, то разрабатывается  схема сценария диалога и программы  ведения диалога ЭИС.

 

5. Отладка,  внедрение и написание инструкции  по использованию ЭИС.

 

Основные  прагматические принципы построения ЭИС:

 

1.Подсистемность. Полученное ЭИС должно представлять собой единое целое, иметь управляющее устройство, которое устанавливает связи между

пятью уровнями (управление, информция, время, функции, деятельность).

 

2.Комплексность. При разработке и внедрении ЭИС соблюдается поэтапность по внедрению с последующей координацией.

 

3.Принцип новых задач. ЭИС должна позволять автоматизацию новых задач на объекте. Т.е. выполняется принцип развития связей с принципом разомкнутости системы.

 

4.Типовость. Разработка и внедрение предварительно апробированных подобных решений. Используются типовые проектные решения.

 

5.Принцип первого руководителя, т.е. отношение руководителя к разработке ЭИС.

 

6.Принцип подготовленности персонала.

 

При проектировании любой системы и, в частности, ЭИС должны соблюдаться два основных системных принципа: анализ и синтез.

 

Анализ - это процесс разбиения исследуемого объекта на составные части (на подсистемы и элементы) по внешним характеристическим

признакам. При этом должны соблюдаться следующие  концепции анализа:

• концепция пары. Каждый вычлененный элемент исследуемого объекта характеризуется парой вида (вх. информация, вых. информация);
• концепция функциональной полноты. Каждому элементу ставится в соответствие функция. Тогда множество функций объекта должно обладать свойствами полноты, непротиворечивости и однозначности;
• концепция надежности элементов и системы в целом.

 

Синтез - это процесс создания единой функциональной единицы из самостоятельно определяющих ее частей. Основные концепции синтеза:

• концепция координации - входящие в систему (объект) элементы должны совмещаться между собой по времени, по передаваемой информации, по управлению, по деятельности;
• концепция качества переходных процессов - до тех пор, пока в Si-ой подсистеме или в некотором ei элементе не получен результат, не будет выполняться прием новых входных данных; 
• концепция автономности - каждый ei элемент Si подсистемы представ-ляет собой самостоятельную единицу по обработке конкретной информа-ции и может быть вычленен из системы (объекта), проверен, отлажен, оттестирован и работать самостоятельно;
• концепция устойчивости - каждый элемент или подсистема должны быть качественны, то есть, надежны или помехоустойчивы, помехозащищены).

 

Таким образом, в традиционно-фундаментальном аспекте  процесс построения ЭИС как системы  связан с анализом и синтезом предметной области или экономического объекта, что составляет сущность процесса проектирования ЭИС. 

 

Процесс проектирования - это процесс создания схемы объекта по описанию его структуры, информационного пространства, и состоит из трех этапов:

1.этап  концептуализации - связан с обследованием  будущего объекта;

2.этап  формализации связан со способом  представления информационно-функциональных  схем проекта;

3. этап оптимизации схем и функций.

 

Заключение:

 

Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:

• высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
• вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
• повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;
• отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
• концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
• наличием интенсивного обмена информацией между участниками этого процесса;
• количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
• обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
• дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);
• многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
• ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;
• развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).