ПРОБЛЕМЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
(Доктрина информационной безопасности Российской Федерации)
2.1. Основные проблемы информационной безопасности и пути их решения
Нынешнее состояние информационной безопасности России – это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности. Назовем самые важные из них.
Во-первых, начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации (далее – Доктрина). Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:
объекты, угрозы и источники угроз информационной безопасности;
возможные последствия угроз информационной безопасности;
методы и средства предотвращения и нейтрализации угроз информационной безопасности;
особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;
основные положения государственной политики по обеспечению информационной безопасности в РФ.
На основе Доктрины осуществляются:
формирование государственной политики в области обеспечения информационной безопасности;
подготовка предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности;
разработка целевых программ обеспечения информационной безопасности.
Во-вторых, к настоящему времени проведены первоочередные мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от форм собственности. Развернута работа по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.
В-третьих, обеспечению информационной безопасности способствуют созданные:
государственная система защиты информации;
система лицензирования деятельности в области защиты государственной тайны;
система сертификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности показывает, что ее уровень не в полной мере соответствует требованиям времени. Все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы.
1. Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение.
2. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации.
3. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.
4. Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных).
5. Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена.
6. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.
7. Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.
8. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.
9. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы власти субъектов РФ и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Из-за этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
10. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения информационного оружия против соответствующей инфраструктуры России. Работы по адекватному противодействию этим угрозам ведутся в условиях недостаточной координации и слабого бюджетного финансирования. Не уделяется необходимое внимание развитию средств космической разведки и радиоэлектронной борьбы.
Обеспечение информационной безопасности требует решения целого комплекса задач. Доктрина перечисляет наиболее важные из них:
разработка основных направлений государственной политики в области обеспечения информационной безопасности, а также мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной безопасности;
разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также их сертификации;
совершенствование нормативно-правовой базы обеспечения информационной безопасности;
установление ответственности должностных лиц федеральных органов власти и местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности в области обеспечения информационной безопасности;
развитие научно-практических основ обеспечения информационной безопасности с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;
создание механизмов формирования и реализации государственной информационной политики России;
повышение эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
развитие и совершенствование систем защиты информации и государственной тайны;
создание защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
расширение взаимодействия с международными и зарубежными органами и организациями для обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
создание системы подготовки кадров в области информационной безопасности и информационных технологий.
Важнейшая задача в деле обеспечения информационной безопасности России – осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом:
интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;
интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;
интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование различных форм общественного контроля над деятельностью федеральных органов государственной власти и органов государственной власти субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы:
правовые;
организационно-технические; экономические.
К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл. 4 настоящего пособия).
Организационно-техническими методами обеспечения информационной безопасности являются:
создание и совершенствование систем обеспечения информационной безопасности;
усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;
совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;
формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности включают в себя:
разработку программ обеспечения информационной безопасности и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности:
проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению;
организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о «разработке и внедрении правовых норм», «повышении правовой культуры и компьютерной грамотности граждан», «создании безопасных информационных технологий», «обеспечении технологической независимости» и т. п.
Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.
Угрозы информационной безопасности – это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т. д.) объекта с целью изменения его функциональных возможностей или полного поражения.
С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики РФ;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободамчеловека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:
принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
чрезмерное ограничение доступа к необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России;
манипулирование информацией (дезинформация, сокрытие или искажение информации).
Угрозами информационному обеспечению государственной политики РФ могут быть:
монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.
Угрозы развитию отечественной индустрии информации могут составлять:
противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий;
закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи;
отток за рубеж специалистов и правообладателей интеллектуальной собственности.
Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние.
К внешним источникам угроз Доктрина относит:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ;
стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним.
К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности;
недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности;
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
2.3. Место информационной безопасности в системе национальной безопасности России
В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны.
Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.
Доктрина выделяет четыре основные составляющие национальных интересов России в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для ее реализации необходимо:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
Для достижения результата на этом направлении необходимо:
развивать и совершенствовать инфраструктуру единого информационного пространства России;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
В этих целях требуется:
повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.
2.4. Защита сведений, составляющих государственную и коммерческую тайну, конфиденциальную информацию и интеллектуальную собственность
Важной стороной противостояния угрозам информационной безопасности является надежная защита сведений, содержащих государственную, коммерческую и иную тайну, а также конфиденциальную информацию и информацию, составляющую интеллектуальную собственность.
Правовые основы защиты информации
За последние годы в России сформированы и продолжают формироваться правовые механизмы, способствующие созданию целостной системы ограничения доступа к информации, составляющей тайну или требующей особой защиты. Важными вехами становления правового режима в этой сфере стало принятие ряда законов и иных нормативно-правовых актов. Назовем основные из них (более подробно правовое обеспечение информационной безопасности рассмотрено в гл. 4).
Закон РФ «О безопасности», принятый 5 марта 1992 г. (с изменениями), определяет защиту государственной тайны как вопрос обеспечения безопасности государства и относит ее к задачам федерального уровня, исключая появление региональных тайн и региональных законодательных актов, регламентирующих их защиту.
Закон РФ «О государственной тайне», принятый 21 июля 1993 г., регулирует порядок отнесения сведений к государственной тайне, их рассекречивания и защиты в интересах обеспечения безопасности России.
Федеральный закон «Об основах государственной службы», принятый 31 июля 1995 г., обязывает, в частности, государственных служащих соблюдать установленный порядок работы со служебной информацией, «хранить государственную и иную охраняемую законом тайну, не разглашать ставшие известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан» (ст. 10).
Уголовный кодекс РФ, введенный в действие 1 января 1997 г., содержит статьи «Разглашение государственной тайны» и «Утрата документов, содержащих государственную тайну». Он также относит к разряду преступлений нарушение тайны переписки, телефонных переговоров и т. п. (ст. 138, ч. 1), незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну (ст. 183, ч. 2), нарушение авторских прав и права на интеллектуальную собственность (ст. 146, ч. 1 и ст. 147, ч. 2).
Указ Президента РФ № 1203 от 30.11.1995 г. «Об утверждении перечня сведений, отнесенных к государственной тайне» объявляет перечень сведений в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности государства, распространение которых может нанести ущерб безопасности России. В связи с совершенствованием структуры федеральных органов исполнительной власти указанный перечень был изложен в новой редакции на основании Указа Президента РФ № 61 от 24.01.98 г. «О перечне сведений, отнесенных к государственной тайне».
Указом Президента РФ от 8 ноября 1995 г. № 1108 образована Межведомственнаякомиссияпозащитегосударственнойтайны. В свою очередь, положение о данной комиссии было утверждено Указом
Президента РФ от 20 января 1996 г. Основной функцией Межведомственной комиссии определена координация деятельности органов государственной власти по защите государственной тайны.
Одним из первых решений Межведомственной комиссии (от 7 июля 1998 г. № 33) стало утверждение Концепции защиты государственной тайны в Российской Федерации.
Наконец, Конституцией РФ определено, что каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23, п. 2). Конституция устанавливает также, что «интеллектуальная собственность охраняется законом» (ст. 44, п. 1).
Таким образом, состав и содержание законов РФ и указов Президента РФ, наличие соответствующих статей в Уголовном кодексе РФ, а также решений Межведомственной комиссии по защите государственной тайны позволяют говорить о сформированной (в целом) нормативно-правовой базе защиты государственной и иной тайны.
Классификация сведений, подлежащих защите
В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы:
государственная тайна;
коммерческая тайна;
сведения конфиденциального характера;
интеллектуальная собственность.
Государственная тайна. Закон РФ «О государственной тайне» дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности России (ст. 2).
В ст. 5 данного Закона определен перечень сведений, отнесенных к государственной тайне:
сведения в военной области – о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.;
сведения в области экономики, науки и техники – о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.;
сведения в области внешней политики и экономики – о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.;
сведения в области разведывательной, контрразведывательной и оперативно-разыскной деятельности. Это, в частности, сведения, характеризующие:
силы и средства названной деятельности, ее источники, планы и результаты;
лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность;
системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи;
шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др.
Дополнительный перечень сведений, включающий некоторые виды информации из области военной, внешнеэкономической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, отнесенные к государственной тайне, содержат указы Президента РФ № 1203 от 30.11.1995 г. и № 61 от 24.01.1998 г.
Кроме того, Доктрина информационной безопасности РФ требует защищать «помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа».
Согласно Уголовному кодексу РФ, защита государственной тайны и иной секретной информации возложена на сотрудников режимных служб и правоохранительных органов.
Коммерческая тайна. Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такойинформацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности.
Согласно ст. 139 ч. 1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию.
Примерно такое же определение коммерческой тайны дает Американская Ассоциация юристов. В ее формулировке – это информация, которая:
во-первых, имеет самостоятельную экономическую стоимость (используемую или потенциальную) благодаря тому, что не является общеизвестной или доступной людям, желающим использовать ее в коммерческих целях;
во-вторых, является объектом разумных для данной ситуации усилий по ее защите.
Прежде чем предпринимать меры для защиты определенной информации как коммерческой тайны, необходимо ответить на следующие вопросы.
Какие сведения нельзя скрывать?
Какие сведения невыгодно скрывать?
Какие сведения необходимо охранять?
Ответ на первый вопрос дает постановление Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну». К таким сведениям относятся:
организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты);
финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности);
сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства);
сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий).
Указанные сведения не являются предметом защиты от ознакомления с ними третьих лиц, но это не исключает их охраны от преступных посягательств. В связи с этим остается вопрос: кому предприниматель обязан предъявлять (по требованию) перечисленные сведения?
Претендовать на ознакомление с такими сведениями в пределах своей компетенции могут:
прокурор в порядке надзора и в других случаях, предоставленных ему законом;
правоохранительные органы по возбужденному уголовному делу;
налоговые службы (управления);
аудиторские фирмы (по просьбе самого владельца);
профсоюзы;
государственные предприятия (учреждения); санитарно-эпидемиологические станции; экологические организации;
организации и частные лица, вступающие в сделку с предпринимателем.
К сведениям, которые невыгодно скрывать, относится, в частности, рекламная информация. Без рекламы в хозяйственной деятельности трудно добиться эффективного результата, особенно в условиях жесткой конкуренции. Вместе с тем рекламная информация может стать достоянием не только законопослушных граждан, но и преступных элементов. Поэтому и в данном случае предприниматель, рекламирующий свою продукцию или деятельность, должен быть готов как к возможным посягательствам, так и к собственным ответным действиям.
Какие сведения необходимо охранять? Для ответа на этот вопрос необходимо определить круг сведений, составляющих коммерческую тайну, а также их возможное распределение по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений. К решению указанной проблемы следует подходить особенно тщательно. Если какие-либо данные, прямые или косвенные, будут упущены, то все принимаемые меры могут оказаться неэффективными. С другой стороны, излишние меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам.
Для подготовки перечня сведений, относящихся к коммерческой тайне предприятия, целесообразно привлечь специалистов, знакомых как с деятельностью предприятия в целом, так и с работой его отдельных подразделений. Создается группа в составе не более 4–5 человек, в которую желательно включить:
специалиста, владеющего финансовыми вопросами, конъюнктурой рынка и данными в отношении конкурирующих фирм;
специалиста, полностью представляющего систему организации работы предприятия, ее особенности;
специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров;
специалиста, обладающего сведениями о выпускаемой продукции, технологическом цикле ее производства, о прохождении всех видов информации на предприятии.
Итогом работы такой группы должен стать перечень сведений, составляющих коммерческую тайну предприятия, утвержденный руководителем предприятия. При разработке перечня необходимо учитывать требования указанного выше постановления Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
В перечень сведений, составляющих коммерческую тайну организации, могут входить:
Сведения научного характера:
идеи, изобретения, открытия;
отдельные формулы;
новые технические проекты;
новые методы организации труда и производства; программное обеспечение ЭВМ; результаты научных исследований.
Сведения технологического характера:
конструкторская документация, чертежи, схемы, записи;
описания технологических испытаний;
конструкционные характеристики создаваемых изделий и оптимальные параметры разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.);
сведения о материалах, из которых изготовлены отдельные детали, условиях экспериментов и об оборудовании, на котором они проводились, и т. д.;
используемые предприятием отдельные новые либо уникальные измерительные комплексы и приборы, станки, оборудование.
Сведения делового характера:
сведения о заключенных или планируемых контрактах;
данные о поставщиках и клиентах;
обзоры рынка, маркетинговые исследования;
информация о конфиденциальных переговорах;
калькуляция издержек производства предприятия, структуры цен, уровень прибыли;
планы развития предприятия и инвестиций.
Перечень сведений, отнесенных к коммерческой тайне, определяется спецификой деятельности каждого конкретного предприятия и в каждом случае может быть сугубо специфическим.
Так, крупнейшие в мире производители прохладительных напитков фирмы «Кока-Кола» и «Пепси-Кола» выделяют в качестве главных секретов специальные добавки в концентрат, из которого изготавливаются напитки. Американские машиностроительные и приборостроительные фирмы, рекламируя качественные характеристики своей продукции, держат в глубоком секрете технологические особенности изготовления основных узлов, определяющих такие характеристики.
По мере необходимости этот перечень изменяется и дополняется; по возможности должен указываться конкретный срок, на который те или иные сведения отнесены к коммерческой тайне.
Сведения конфиденциального характера. Конфиденциальность информации-характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.
Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);
сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т. д.);
сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них.
Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ «Об охране здоровья граждан», законы РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании», «О нотариате», «Об адвокатуре», «Об основных гарантиях избирательных прав граждан РФ», «О банках и банковской деятельности», а также Налоговый кодекс РФ, Семейный кодекс РФ и др.
В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные «тайны»:
врачебная (медицинская) тайна;
банковская тайна;
налоговая тайна;
нотариальная тайна;
тайна страхования;
адвокатская тайна;
тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др.
К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ.
Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.
Организация защиты информации
Хранить свой секрет – мудро, но ждать, что его будут хранить другие, – глупо.
(С. Джонсон )
Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих «защитных» мероприятий:
адекватное определение перечня сведений, подлежащих защите;
выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;
принятие мер по ограничению доступа к информации или объекту;
организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т. п.);
наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа;
наличие на документах надписей «Секретно», «Для служебного пользования», а на дверях – «Посторонним вход воспрещен». Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);
подписание с сотрудниками организации, фирмы договора о неразглашении тайны.
Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов.
В числе мер защиты информации можно выделить внешние и внутренние.
К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации.
Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.
Сотрудники – важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность.
Известно, что еще в Римской империи, когда основную часть работающего населения составляли рабы, обычной практикой было принуждение чужих рабов выдавать секреты хозяина. В Риме был даже принят специальный закон, предусматривающий наказание за подобные действия в виде штрафа размером в двойную стоимость причиненных убытков.
Для обеспечения защиты информации на предприятиях вводится определенный режим, порядок доступа иработы с информацией. Эффективность такого порядка возможна только при выполнении следующих условий:
единства в решении производственных, коммерческих, финансовых и режимных вопросов;
координации мер безопасности между всеми заинтересованными подразделениями;
экспертной оценки информации и объектов, подлежащих защите;
персональной ответственности руководителей и исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уроне режима охраны проводимых работ;
организации специального делопроизводства, надежного хранения и перевозки носителей коммерческой тайны, маркировки документации и пр.;
формирования списка лиц, уполномоченных классифицировать информацию, содержащую коммерческую тайну;
ограничения круга лиц, имеющих допуск к информации;
наличия единого порядка доступа и организации пропускного режима;
организации взаимодействия с органами власти, осуществляющими контроль за определенными видами деятельности предприятий;
наличия охраны, пропускного и внутреннего режима;
планового осуществления мер по защите и контролю за коммерческой тайной;
создания системы обучения исполнителей правилам обеспечения сохранности интеллектуальной собственности.
Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:
телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);
телефонный подавитель устройств прослушивания;
профессиональный детектор (используется для «грубого» определения местонахождения радиозакладок);
мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);
генератор шума.
Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.
Некоторые фирмы, например, используют для хранения секретной информации сейфы (шкафы), открываемые с помощью специальной магнитной карты или других сложных сигнальных электронных устройств. Следует отметить, что эта мера значительно затрудняет доступ к информации, особенно при наличии комплекса защитных (физических и технических) мер у здания, где расположен сейф, иное хранилище. Некоторые фирмы тратят на защиту информации до 15 % своих доходов.
Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами.
Для защиты публикуемых работ автору рекомендуется воспроизводить на каждой копии следующую информацию: имя владельца авторского права; год издания работы; символ авторского права ©. Наконец, всем авторам при борьбе с посягательствами на их интеллектуальную собственность необходимо тесное сотрудничество с правоохранительными органами и общественностью. К сожалению, существующая практика борьбы с плагиатом и пиратством показывает, что такое сотрудничество тоже далеко не всегда дает ожидаемые результаты.
Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты.
Вопросы для обсуждения
1. Какие угрозы – внешние или внутренние – оказываются более существенными для информационной безопасности нашего общества и вас лично? Почему?
2. Ощущаете ли вы в своей повседневной жизни отставание России в разработке и внедрении информационных систем разного уровня? Приведите примеры.
3. Решаются ли все проблемы информационной безопасности человека и общества созданием соответствующей нормативно-правовой базы и внедрением современных информационных технологий?
4. Ощущаете ли вы лично ограничения в праве на доступ к информации?
5. Происшедшая в мире информационная революция, на ваш взгляд, усилила или ослабила национальную безопасность России? Обоснуйте свой вариант ответа.
6. Что вы знаете об усилиях государства по защите интеллектуальной собственности и, в частности, борьбе с контрафактной продукцией? Поддерживаете ли вы эту борьбу личными действиями?
7. Есть ли в вашей деятельности и частной жизни сведения, требующие защиты от посторонних лиц? К какой группе секретности вы отнесли бы эти сведения?
Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления – «информационная безопасность ». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных.
Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных.
Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п.
Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты, как от разнообразных случайностей, так и от несанкционированного доступа.
Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п.
Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.
Кроме чисто технических задач разработки средств защиты информации имеются нормативно-технические, организационно-правовые, юридические и другие аспекты. Основные задачи, рассматриваемые специалистами по информационной безопасности (а также публикации на эту тему), связаны с обеспечением безопасности использования глобальных и локальных сетей, с проблемами глобальной вычислительной сети Интернет, «хакерами», «вирусами» и т.п.
Резюмируя сказанное, можно выделить технические, организационные и правовые меры обеспечения информационной безопасности и предотвращения компьютерных преступлений.
К техническим мерам относятся:
защита от несанкционированного доступа;
резервирование особо важных компонентов подсистем;
организация вычислительных сетей с перераспределением ресурсов при временном нарушении работоспособности какой-либо части сети;
создание устройств обнаружения и тушения пожаров;
создание устройств обнаружения утечек воды;
техническая защита от хищений, саботажа, диверсий, взрывов;
дублирование электропитания;
надежные запирающие устройства;
устройства сигнализации о различных опасностях.
К организационным мерам относятся:
надежная охрана;
подбор надежного персонала;
правильная организация работы персонала;
предусмотренный план восстановления работы информационного центра вследствие одной из указанных выше причин;
организация обслуживания и контроля работы компьютерного центра лицами, не заинтересованными в сокрытии преступлений;
создание средств защиты информации от любых лиц, включая и руководящий персонал;
предусмотренные меры административной ответственности за нарушение правил работы;
правильный выбор местонахождения информационного центра с дорогостоящим техническим и программным обеспечением.
К правовым мерам относятся:
разработка уголовных норм ответственности за компьютерные преступления;
усовершенствование уголовного и гражданского законодательства;
усовершенствование судопроизводства по компьютерным преступлениям;
общественный контроль за разработчиками компьютерных систем;
принятие ряда международных соглашений, касающихся информационной безопасности.
Это очень крупная научно-техническая проблема и, естественно, мы не можем осветить ее в полной мере и коснемся только основных понятий, определений и средств защиты, доступных пользователю, причем начнем с наиболее близкой проблемы рядового пользователя – с сохранения информации, не связанного с несанкционированным доступом.
УДК 323.2
ББК 66.2 (2Рос)
Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации. Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Законодатель Российской Федерации не дает понятия информационной безопасности, явление представляется на уровне «Доктрины информационной безопасности Российской Федерации».
Ключевые слова: защита данных , информационная безопасность , информация , объекты , угрозы .Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Сегодняшние условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение. Отсутствие действенных механизмов регулирования информационных отношений в обществе и государстве приводит ко многим негативным последствиям.
Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации, глобальная информатизация охватывает все сферы государства - экономическую, военную, политическую, промышленную и т.п. Кроме всего, вычислительная техника становится неотъемлемой частью жизнедеятельности человека. Информационная безопасность, как и любой иной объект, имеет угрозы, посягающие как на целостность физическую, так и ее производных.
Исторически информация всегда имела огромное значение в быту людей и всегда ей отводилось особое место в нем, много внимания уделялось развитию средств и методов ее защиты. Анализ процесса развития этих средств и методов защиты информации позволяет разделить его на три относительно самостоятельных периода. В основе такого деления лежит эволюция видов носителей информации.
Первый период определяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, т.е. с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема обеспечения сохранения в тайне существующей уже отдельно от источника конфиденциальной информации. Поэтому практически одновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие .
По утверждению ряда специалистов, криптография по возрасту - ровесник египетских пирамид. В документах древних цивилизаций - Индии, Египта, Месопотамии - есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных тестов из Месопотамии (ХХ в. до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен.
Второй период (примерно с середины ХIX века) характеризуется появлением технических средств обработки информации и возможностью сохранения и передачи сообщений с помощью таких носителей, как электрические сигналы и электромагнитные поля (например телефон, телеграф, радио). Возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Появились способы шифрования сообщений в реальном масштабе времени (в процессе передачи по телефонным и телеграфным каналам связи) и т.д. Кроме того, это период активного развития технических средств разведки, многократно увеличивающих возможности ведения промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации.
Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период ). Поэтому история наиболее интенсивного развития проблемы защиты информации связана с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х годах на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано все возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере.
В ежегодном докладе ФБР было сказано, что за 1997 год от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд. долларов .
Выводы западных экспертов показывают, что утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы.
Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через электронную почту Интернет в мае 2000 года вирус «I love you» вывел из строя свыше пяти миллионов компьютеров и нанес ущерб свыше 10 млрд. долларов .
В таком случае возникает вопрос безопасности, способный предотвратить, пресечь подобные негативные, приносящие вред, явления.
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз .
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Из вышеперечисленных примеров становится ясно, что жизненно важными интересами выступают сведения с определенной ценностью для субъекта, их использовавшего, а также иные объекты информационной системы (в нашем примере это была телекоммуникационная система). В связи с этим в иностранных государствах роль защиты информации возросла, что связано с развитием технологий передачи сведений (данных) с помощью электронно-вычислительных машин в телекоммуникационных системах как общего пользования, так и специального назначения, и становлением «информационного» общества.
В нашей стране давно и небезуспешно стали также заниматься проблемами защиты информации. И не зря советская криптографическая школа до сих пор считается лучшей в мире. Однако чрезмерная закрытость всех работ по защите информации, сконцентрированных главным образом в отдельных силовых ведомствах, в силу отсутствия регулярной системы подготовки профессионалов в этой области и возможности широкого обмена опытом привела к некоторому отставанию в отдельных направлениях информационной безопасности, особенно в обеспечении безопасности компьютерной.
В данное время есть все основания утверждать, что в России сложилась отечественная школа защиты информации. Ее отличительной особенностью является то, что в ней наряду с решением сугубо прикладных проблем защиты большое внимание уделяется формированию развитого научно-методо-логического базиса, создающего объективные предпосылки для решения всей совокупности соответствующих задач на регулярной основе.
Естественно, что за истекшее после возникновения проблемы защиты информации время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме в зависимости от подходов к ее решению довольно четко делится на три этапа.
Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранении тайны) является чрезмерно узким. Более того, само понятие «тайна» до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях повсеместное распространение получают понятия промышленная, коммерческая, банковская, личная и другие тайны. В действующих законодательных актах Российской Федерации (РФ) встречаются понятия более чем 40 видов тайн. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено.
Но в данной работе, изучая информационную безопасность, необходимо уделить особое внимание рассмотрению понятия государственной тайны, так как уровень важности тайны всегда определяется по степени ущерба не только по отношению к одному индивиду, но и к социальной группе, обществу и государству соответственно. Исходя из этого, на первое место выходит государственная тайна.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации .
Определенную системность в решение вопросов места государственной тайны в жизни общества и государства внес принятый в 1993 году Закон Российской Федерации «О государственной тайне». Продолжая традицию отнесения определенных категорий сведений к тайне, Закон делает принципиальный шаг вперед, устанавливая целый блок социально значимых сведений, которые не могут быть засекречены (ст. 7). Законом выработан конкретный правовой механизм, согласно которому должностные лица, принявшие решение о засекречивании указанных сведений, несут различные виды юридической ответственности, а граждане вправе обжаловать такие решения в суд.
Второй принципиальной новацией данного Закона является введение норм, регулирующих взаимоотношения государства и собственника информации при отнесении сведений к государственной тайне. За уполномоченными должностными лицами сохра-няется императивное право засекречивать информацию, владель-цами которой являются учреждения, организации или граждане. В то же время владелец информации обладает правом возмещения материального ущерба, наступающего в связи с засекречиванием информации, размер которого определяется договором, а также правом обжаловать действия органа государственной власти в суде.
Конечно, Закон «О государственной тайне» лишь первый шаг на пути рационального и разумного подхода к регулированию отношений, связанных с государственной тайной. Приведенный пример может служить подтверждением одного непреложного факта - принцип определения категорий информации, относимых к государственной тайне, является государственным императивом, в ряде случаев зависящим от конкретной экономической либо политической обстановки, и в силу этого не могущим быть незыбле-мым. К тому же, какие бы законодательные рамки ни существовали, в механизме отнесения сведений к государственной тайне наиболее важным звеном был и остается конкретный орган исполнительной власти, так как именно по его предложениям (читай - интересам) формируются категории общегосударственного перечня. С учетом того, что само понятие государственная тайнапо-прежнему вызывает у большинства должностных лиц и граждан некий благоговейный трепет, а подавляющее большинство руково-дителей федеральных органов исполнительной власти на основа-нии статьи 9 Закона наделено полномочиями по отнесению сведе-ний к государственной тайне, система «сдержек и противовесов», заложенная в провозглашенном Конституцией принципе разделе-ния властей, пока работает в регулировании данной сферы отно-шений крайне слабо.
Кроме того, анализ безопасности и информации в отдельности от информационной безопасности показывает, что конкретное понятие определено законодательством, но в основанных на доктрине информационной безопасности законах самого ее определения как таковой нету.
В последнее время проблема защиты информации рассматривается как проблема информационной безопасности - неотъемлемой составной части национальной безопасности Российской Федерации. Это ясно определяется Концепцией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17 декабря 1997 года № 1300 (последняя редакция - январь 2000 года) и Доктриной информационной безопасности РФ, принятой в сентябре 2000 года. Здесь система национальных интересов России определяется совокупностью основных интересов личности, общества и государства.
Прежде чем рассмотреть, что такое информационная безопасность и роль ее в государстве, его управлении, необходимо определиться в таком явлении, предмете жизнедеятельности, как информация.
В данной работе содержание информации будет рассмариваться с учетом задач и проблем информатизации, как организационного социально-эконо-мического и научно-технического процесса создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов и возникающих при этом общественных и, прежде всего, правовых отношений. С позиций такого подхода, а также рассмотренных понятий информация будет носить двойственный характер.
Во-первых, она является информационным ресурсом общества, обладающим определенными свойствами и необходимым для информационного обеспечения общественной деятельности и повседневной жизни людей.
Во-вторых, информация - это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информационного продукта, обладающего заданным свойством (качеством). При этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем).
Существует множество определений понятия «информация»: от наиболее общего, философского (информация есть отражение материального мира) до наиболее узкого, практического (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования) .
До середины 20-х годов ХХ века под информацией действительно понимались «сообщения и сведения», передаваемые людьми устным, письменным или иным способом. С середины ХХ века информация превращается в общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация) . Это одно из основных понятий кибернетики.
В связи с развитием средств связи и телекоммуникаций, вычислительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее количественные характеристики. К. Шенноном и У. Уивером были предложены вероятностные методы для определения количества передаваемой информации. Появилось понятие «энтропия информации» как мера ее неопределенности. .
Н. Винер предложил «информационное видение» кибернетики считать наукой об управлении в живых организмах и технических системах . Под информацией стали понимать уже не просто сведения, а только те из них, которые являются новыми и полезными для принятия решения, обеспечивающего достижение цели управления.
Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, их полезность и ценность для потребителя.
Для раскрытия определения содержания понятия информации рассмотрим его дополняющее компоненты принятые в действующих нормативных правовых актах .
Документированная информация (документы) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством.
Массовая информация - предназначенные для неограниченного кругалиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).
Информационные продукты (продукция) - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей.
Компьютерная информация - информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети.
С точки зрения процесса защиты информации нам важно представлять это понятие в более материалистической плоскости, позволяющей направлять действия по обеспечению безопасности на конкретный объект. Поэтому остановимся на следующем определении: информация - сведения (сообщения, данные) независимо от формы их представления. .
Независимо от сфер деятельности личности, общества и государства, обеспечение безопасности информации тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. В силу этого источник является неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности. Под источником информации понимается объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно для поставленных целей определенным ее приемником. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассивной стороной, а получатель - субъект активной. С учетом рассмотренных выше понятий конфиденциальной информации под источником конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников.
К объектам информационной безопасности Российской Федерации относятся:
Информационные ресурсы, независимо от форм хранения, содержащие информацию, составляющую государственную тайну и ограниченного доступа, а также открытую (общедоступную) информацию и знания;
Система формирования, распространения и использования информационных ресурсов, включающая информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
Информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
Система формирования общественного сознания (мировоззрение, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;
Права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.
К настоящему времени известно большое количество разноплановых угроз информации (в системах ее обработки она понимается под возможностью возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию) различного происхождения, таящих в себе различную опасность для нее. Для системного представления их удобно классифицировать по виду, возможным источникам, предпосылкам появления и характеру проявления.
Определив понятие “угроза информации”, рассмотрим его относительно непосредственного воздействия на информацию, обрабатываемую на каком-либо объекте (кабинете, предприятии, фирме). Анализируя возможные пути воздействия на информацию, представляемую как совокупность n информационных элементов, связанных между собой логическими связями, можно выделить основные нарушения, которые будут являться видами угроз информационной безопасности:
Физической целостности (уничтожение, разрушение элементов);
Логической целостности (разрушение логических связей);
Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации);
Прав собственности на информацию (несанкционированное копирование, использование).
В законе РФ «О безопасности» дано определение угрозы безопасности как совокупности условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства. В связи с этим и вышеизложенным под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .Тогда с позиции обеспечения информационной безопасности можно определить, что под информационной угрозой понимается воздействие дестабилизирующих факторов на состояние информированности, как извне, так и внутри государства, подвергающее опасности жизненно важные интересы личности, общества и государства.
Из определения мы видим, что существуют внешние и внутренние источники угрозы информационной безопасности.
К внешним источникам относятся: недружественная политика иностранного государства в области глобального информационного мониторинга, распространение информации и новых информационных технологий; деятельность иностранных разведывательных и специальных служб; деятельность иностранных политических и экономических структур, направленная против интересов России; преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.
Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; нарушения установленных регламентом сбора, обработки и передачи информации; преднамеренные действия и непреднамеренные ошибки персонала информационных систем; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах. В результате воздействия угроз информационной безопасности может быть нанесен серьезный ущерб жизненно важным интересам Российской Федерации в политической, экономической, оборонной и других сферах деятельности государства, причинен социально-экономический ущерб обществу и отдельным гражданам.
Следствием такого воздействия могут быть: создание препятствий на пути равноправного сотрудничества России с развитыми странами и дружественными государствами; затруднения принятия важнейших политических, экономических и других решений; подрыв государственного авторитета Российской Федерации на международной арене; создание атмосферы напряженности и политической нестабильности в обществе; нарушение баланса интересов личности, общества и государства; дискредитация органов государственной власти и управления; провоцирование социальных, национальных и религиозных конфликтов; инициирование забастовок и массовых беспорядков; нарушение функционирования системы государственного управления, а также систем управления войсками, вооружением и военной техникой, объектами повышенной опасности.
Также следствием воздействия угроз могут явиться снижение темпов научно-технического развития страны, утрата культурного наследия, проявления бездуховности и безнравственности. Весьма существенный экономический ущерб в различных областях общественной жизни и в сфере бизнеса может быть причинен в результате нарушений законодательства в информационной сфере и компьютерных преступлений.
Угрозы информационной безопасности могут нанести физический, материальный и моральный ущерб гражданам, вызвать неадекватное социальное или криминальное поведение групп людей или отдельных лиц, оказать влияние на процессы образования и формирования личности.
Способы воздействия угроз на объекты информационной безопасности в Российской Федерации подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.
К информационным способам относятся: нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации.
Программно-математические способы включают: внедрение программ-вирусов; установку программных и аппаратных закладных устройств; уничтожение или модификацию данных в информационных системах.
Физические способы включают: уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение программных или аппаратных ключей и средств криптографической защиты информации; воздействие на персонал; поставка «зараженных» компонентов информационных систем.
Радиоэлектронными способами являются: перехват информации в технических каналах ее утечки; внедрение электронных устройств перехвата информации в технических каналах и помещениях; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают: закупку несовершенных или устаревших информационных технологий и средств информатизации; невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
В целях предотвращения, парирования и нейтрализации угроз информационной безопасности применяются базовые методы. К ним относятся правовые, программно-технические и организационно-экономические методы.
Правовые методы предусматривают разработку комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, руководящих и нормативно-методических документов по обеспечению информационной безопасности.
Программно-технические методы включают предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней; предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных программных или аппаратных закладных устройств; исключение перехвата информации техническими средствами; применение криптографических средств защиты информации при передаче по каналам связи.
Организационно-экономические методы предусматривают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации; сертификацию этих систем по требованиям информационной безопасности; лицензирование деятельности в сфере информационной безопасности; стандартизации способов и средств защиты информации; контроль за действием персонала в защищенных информационных системах.
Важное место среди этих методов занимают мотивация, экономическое стимулирование и психологическая поддержка деятельности персонала, занятого обеспечением информационной безопасности.
Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние ее информационной безопасности. При этом возникают новые факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в этой области. Их можно разделить на политические, экономические и организационно-технические.
К политическим факторам относятся:
Изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;
Информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;
Становление новой российской государственности на основе принципов демократии, законности и информационной открытости;
Разрушение ранее существовавшей командно-административной государственной системы управления, а также сложившейся системы обеспечения безопасности страны;
Нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
Стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;
Низкая общая правовая и информационная культура в российском обществе.
Среди экономических факторов наиболее существенными являются:
Переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
Критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации;
Расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России.
Из организационно-технических факторов определяющими являются:
Недостаточная нормативно-правовая база в сфере информационных отношений, в том числе в области обеспечения информационной безопасности;
Слабое регулирование государством процессов функционирования развития рынка средств информатизации, информационных продуктов и услуг в России;
Широкое использование в сфере государственного управления и кредитно-финансовой сфере не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
Рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;
Обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.
Таким образом, под информационной безопасностью Российской Федерации понимается состояние защищенности информации, информационных ресурсов и информационной инфраструктуры, обеспечивающей жизненно важные интересы личности, общества и государства, а также способность государства обеспечивать информацией, необходимой для противодействия планам и намерениям иностранных государств, организаций и лиц причинить вред интересам безопасности государства.
Из вышеизложенного следует, что информационная безопасность определяется способностью государства, общества, личности:
Обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
Противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
Вырабатывать личностные и групповые навыки и умения безопасного поведения;
Поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать .
На законодательном уровне понятия информационной безопасности не дается, но определения безопасности (состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ) и информации (информация - сведения (сообщения, данные) независимо от формы их представления ) в разных правовых актах даются.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
Литература
- Шиверский А.А. Защита информации: проблемы теории и практики. - М.: Юрист, 1996. - 112 с.
- Петраков А.В., Лагутин В.С. Утечка и защита информации в телефонных каналах. - М.: Энергоатомиздат, 1998. - 112 с
- Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - И.: Горячая линия- Телеком, 2000. С. 26.
- Закон РФ от 05.03.1992 № 2446-1 «О безопасности» // Российская газета, № 103, 06.05.1992.
- Ст. 2 закона РФ от 21.07.1993 № 54851 «О государственной тайне» // Собрание законодательства РФ, 13.10.1997, № 41, С. 8220-8235.
- Семкин С.Н., Фисун А.П. Правовые основы защиты информации. - Орел: ВИПС, 2003. - 131 с.
- Расторгуев С.П. Инфицирование как способ защиты жизни. - М.: Яхтсмен, 1996. - 143 с.
- Шеннон К.Е. Математическая теория связи. Работы по теории информации и кибернетике. - М.: Норма 2001, с. 53.
- Винер Н. «Творец и робот». - М.: Прогресс, 1998. - 202 с.
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
- П. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
- «Доктрина информационной безопасности Российской Федерации» утвержденная Президентом РФ 09.09.2000 № Пр-1895 // Российская газета, № 187, 28.09.2000.
Bibliography
- Shiverskiy A.A. Information protection: problems of theory and practice. - M.: Yurist, 1996. - 112 p.
- Petrakov A.V., Lagutin V.S. Data leakage and protection in telephone channels. - M.: Energoatomizdat, 1998. - 112 p.
- Zegzhda D.P., Ivashko A.M. “Basics of information systems security”. - I.: Goryatchaya liniya - Telekom, 2000, p. 26.
- Law of the RF dated 05.03.1992 № 2446-1 “About the security” // Rossiyskaya gazeta, № 103, 06.05.1992.
- Article 2, Law of the RF dated 21.07.1993 № 54851 “About the National Security Information” // Collected Legislation of the RF, 13.10.1997, № 41, p. 8220-8235
- Semkin S.N., Fisun A.P. and others “Legal basics of information protection”. - Oryol: VIPS, 2003. - 131 p.
- Rastorguyev S.P. “Infection as a method of life protection”. - M.: Yahtsmen, 1996. - 143 p.
- Shennon K.E. “Mathematical theory of connection. Works on theory of information and cybernetics”: Norma 2001, p. 53.
- Viner N. “Creator and robot”. - M.: Progress, 1998 - 202 p.
- Federal law dated 27.07.2006 № 149-Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
- Item 1, article 2 of the federal law dated 27.07.2006 № 149- Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
- Doctrine of information security of the Russian federation” affirmed by the President of the RF 09.09.2000 № Orde-1895 // published by Rossiyskaya gazeta, № 187, 28.09.2000.
Problem of information security in the Russian federation
Information security is a compound of general security and has rapid development both in the whole world and the Russian Federation. The idea about the protection of information as a warning of its illegal acquiring which has prevailed until recently is too narrow. Analysis of the present state of information security in Russia shows that the level of information security at present time doesn’t correspond to the vital requirements of a person, society and state. A legislator of the Russian Federation doesn’t introduce the notion of state security. The event is introduced on the level of “Doctrine of information security of the Russian Federation”.
Key words:Рассматривая вопрос о том, насколько важна для фирмы информационная безопасность и определяя бюджет на её обеспечение, необходимо четко ориентироваться в этом понятии. Только так можно наметить приоритетные направления и составить план соответствующих действий.
Информационная безопасность в сетях включает в себя широкий круг проблем. Для благополучия бизнеса информационная безопасность имеет основополагающее значение, поэтому мы рассмотрим все задачи, которые она решает, подробно.
Итак, первое направление – это обеспечение целостности данных . Сегодня вся коммерческая информация, бухгалтерские данные, финансовая отчетность, клиентские базы, договора, новаторские идеи сотрудников фирмы, планы и стратегия её развития, хранятся в локальной информационно-компьютерной сети. Далеко не всегда и не все документы дублируются на бумажных носителях, ибо объем информации очень велик. В таких условиях информационная безопасность предусматривает систему мер, которые призваны обеспечить надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Серьезный подход к данному вопросу означает, что информационная безопасность должна базироваться на профессиональном аудите всей IT - инфраструктуры фирмы. позволяет провести оценку состояния сети и оборудования, сделать анализ потенциальных угроз, выявить и вовремя устранить «слабые» места кабельной системы, серверных и рабочих станций, дисковых систем и нарушений в конфигурации оборудования. Таким образом, снижаются технические риски возможной потери информации.
К повреждению данных приводит и некорректная работа систем архивации, сетевого и прикладного ПО. Обеспечивая информационную безопасность вашей фирмы, наши сотрудники проводят тестирование программного обеспечения и проверяют его соответствие современным требованиям.
Следующая важнейшая задача - обеспечение конфиденциальности информации . Защита коммерческих секретов напрямую влияет на конкурентоспособность фирмы и её устойчивость на рынке. Здесь сталкивается с внешними и внутренними преднамеренными угрозами, направленными на хищение данных. Хакеры, промышленный шпионаж и утечка информации по вине собственных сотрудников представляют наибольшую угрозу. Соблазн продать ценную коммерческую информацию велик не только у увольняемых сотрудников, но и у тех, амбиции которых на рабочем месте неудовлетворенны. В данном случае, информационная безопасность принимает превентивные меры, направлены на контроль инсайдеров и многоступенчатую защиту серверов от хакерских атак.
Поэтому меры по противодействию несанкционированному доступу должны быть направлены на достижение двух целей:
- Cоздавать условия, когда случайные или умышленные действия, приводящие к потере данных, становятся невозможны. Информационная безопасность решает эту проблему путем создания системы аутентификации и авторизации пользователей, разделения прав доступа к информации и контроля доступа.
- Также важно создать систему, при которой сотрудники или злоумышленники не смогли бы скрыть совершенных действий. Здесь в помощь специалисту по ИБ приходит система контроля событий безопасности, аудит доступа к файлам и папкам.
- Эффективными средствами защиты, как от внешних угроз, так и от внутренних, являются также: введение системы паролей пользователей, применение для особо важной информации криптографических методов защиты (шифрование), ограничение доступа в помещения, применение индивидуальных цифровых ключей и смарт-карт, использование межсетевых экранов, установка систем защиты от утечек информации через электронную почту,
FTP
-серверы и Интернет-мессенджеры, защита информации от копирования. При рассмотрении потенциальных угроз, мы рекомендуем своим клиентам установить контроль над исходящими информационными потоками.
В последнее время получили большое распространение такие способы взлома сетей, как распространение вредоносных компьютерных программ, выполняющих функции сбора и передачи информации (троянские программы), программ-шпионов. Для того, чтобы устранить подобные внешние риски, информационная безопасность предусматривает установку мощного антивирусного ПО и серверной защиты.
Информационная безопасность сети предполагает также защиту от атак извне, направленных на прекращение работоспособности серверов, компьютеров или компонентов сети. Речь идет о DDos -атак, попытках подбора паролей (bruteforce -атаки). Для защиты от подобных угроз информационная безопасность требует применения специального программного обеспечения – межсетевых экранов и систем проактивной защиты.
И самое главное, для чего нужна информационная безопасность – это доступность информации для легитимных пользователей . Все меры обеспечения информационной безопасности бесполезны, если они затрудняют работу легитимных пользователей или блокируют ее. Здесь на первый план выходит надежно работающая аутентификация и грамотно реализованное разделение прав пользователей.
Наша компания приложит все усилия, чтобы информационная безопасность Вашей компании была организована на уровне, делающем ее практически неуязвимой.
Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация уменьшает степень неопределенности, неполноту знаний о лицах, предметах, событиях и т.д.
Защита информации - это процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности .
В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации.
Конфиденциальная информация - это субъективно - определяемая характеристика или свойство информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Конфиденциальная информация, которая может представлять интерес для конкурентов должна быть защищена . Сокрытие информации мотивируется не только перед страхом утечки конфиденциальных данных, но и попытки внести изменения в базы данных или рабочую документацию, что может привести не только к убыткам, но и остановить работу предприятия.
Для нормального и безопасного функционирования систем необходимо поддерживать их безопасность и целостность.
На сегодняшний день сформулировано три базовых принципа информационной безопасности , которая должна обеспечивать:
целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;
конфиденциальность информации;
Компьютеры, часто объеденные в сеть, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Широкое развитие компьютерных сетей, интеграция их с информационными системами общего пользования помимо преимуществ порождает новые угрозы безопасности информации.
Причины возникновения новых угроз характеризуются :
сложностью и разновидностью, используемого программного и аппаратного обеспечения сетей;
большим числом узлов сети, участвующих в электронном обмене информацией, их территориальной распределенностью и отсутствием возможности контроля всех настроек;
доступностью информации систем внешним пользователям (клиентам, партнерам и пр.) из-за ее расположения на физически соединенных носителях.
Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным.
Электронные средства хранения даже более уязвимы, чем бумажные: размещенные на них можно и уничтожить, и скопировать, и незаметно видоизменить.
Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов, ущерб от компьютерных преступлений увеличивается на 35 процентов в год . Одной из причин является сумма денег, полученная в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов. По данным Миннесотского университета США, 93 процента компаний, лишившихся доступа к своим данным на срок более 10 дней покинули свой бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно увеличивается. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Чем больше людей получают доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.
Компьютерным преступником может быть любой. И молодой хакер и служащий. Компьютерные преступления, совершенные служащими, составляют 70 - 80 процентов ежегодного ущерба, связанного с компьютерами.
Признаки компьютерных преступлений :
Кражи частей компьютеров;
Кражи программ;
Физическое разрушение оборудования;
Уничтожение данных или программ.
Это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено, или что не выполняются меры защиты. Они также свидетельствуют о наличии уязвимых мест, и указывают, где находится брешь в защите.
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре . Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Действия, которые наносят ущерб информационной безопасности организации можно разделить на несколько категорий .
- 1. Действия, осуществляемые авторизованными пользователями
- 1.1. Целенаправленная кража уничтожение данных на рабочей станции или сервере;
- 1.2. Повреждение данных пользователем в результате неосторожных действий.
- 2. «Электронные» методы воздействия, осуществляемые хакерами
- 2.1. Несанкционированное проникновение в компьютерные сети
- 2.2. DOS - атаки
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожение данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое - то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес - процессах компании - жертвы, потерю клиентов, ущерб репутации и т.п.
3. Компьютерные вирусы - это разновидность вредоносных программ, отличительной особенностью которых является способность к размножению, повреждению или полностью уничтожению данных .
Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, Интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрата данных, краже конфиденциальной информации и даже прямым хищением финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
4. Спам (англ. spam) - сообщения, массово рассылаемые людям, не давшим согласие на их получение (относится к электронным письмам) .
Электронная почта в последнее время стала главным каналом распространения вредоносных программ;
Спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
Как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
Вместе со спамом нередко удаляется корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям, опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
«Естественные» угрозы
На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс - мажорные обстоятельства и т.д.
Процесс информатизации общества наряду с положительными последствиями имеет и ряд отрицательных сторон. Ежегодно возрастает количество преступлений, в которых объектом преступных посягательств является информация, а также тех, где информация в свою очередь служит средством совершения преступлений.