Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:
- целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
- конфиденциальность информации;
- доступность информации для всех авторизованных пользователей.
При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.
Особенно актуальны вопросы информационной безопасности государства, в частности — России.
Цель работы — рассмотрение обеспечения информационной безопасности России.
Предмет работы — информационная безопасность.
Объект работы — процессы обеспечения информационной безопасности государства.
Задачи, поставленные в работе:
- рассмотреть особенности информационной безопасности как категории;
- рассмотреть нормативно-правовую базу обеспечения информационной безопасности;
- рассмотреть особенности процесса обеспечения информационной безопасности в России.
Работа состоит из введения, основной части, в которой рассматриваются теоретические и практические аспекты изучаемой проблемы, заключения и списка использованной литературы.
Основные аспекты информационной безопасности
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
Основы информационной безопасности
... поиска, распространения информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации. Закон ... рассмотреть понятия такие, как: «Безопасность», «Информация», «Информационная безопасность». 2) изучить закон «Об информационной безопасности», его требования и применение в гостиницах. 3) ...
Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.
Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.
Существенные признаки понятия
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
- Конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
- целостность (англ. integrity) — избежание несанкционированной модификации информации;
- доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Выделяют и другие не всегда обязательные категории модели безопасности:
- неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
- подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
- достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
- аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Объём (реализация) понятия «информационная безопасность»
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:
Правовые основы обеспечения информационной безопасности
... организационного обеспечения информационной безопасности России; разработки целевых программ обеспечения информационной безопасности России. Термин – «информационная безопасность» имеет много характеристик. Это и состояние защищённости информационной среды, и защита информации, представляющая собой деятельность по предотвращению ...
Законодательная, нормативно-правовая и научная база.
Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
Организационно-технические и режимные меры и методы (Политика информационной безопасности).
Программно-технические способы и средства обеспечения информационной безопасности.
Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ).
Для построения и эффективной эксплуатации СОИБ необходимо:
- выявить требования защиты информации, специфические для данного объекта защиты;
- учесть требования национального и международного Законодательства;
- использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
- определить подразделения, ответственные за реализацию и поддержку СОИБ;
- распределить между подразделениями области ответственности в осуществлении требований СОИБ;
- на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
- реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
- реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
- используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
- Международные договоры РФ;
- Конституция РФ;
- Законы федерального уровня (включая федеральные конституционные законы, кодексы);
- Указы Президента РФ;
- Постановления Правительства РФ;
- Нормативные правовые акты федеральных министерств и ведомств;
- Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
- Доктрина информационной безопасности РФ;
- Руководящие документы ФСТЭК (Гостехкомиссии России);
Стандарты информационной безопасности, из которых выделяют:
Защита конфиденциальных документов от несанкционированного доступа
... информации, а также ее неправомерного разглашения или утечки; обязательный объект защиты. Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от ... чернового варианта документа или рабочих записей; несанкционированное копирование бумажных и электронных документов, баз данных, фото-, видео-, аудио-документов, запоминание ...
- Международные стандарты;
- Государственные (национальные) стандарты РФ;
- Рекомендации по стандартизации;
- Методические указания.
Органы (подразделения), обеспечивающие информационную безопасность
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
- Комитет Государственной думы по безопасности;
- Совет безопасности России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
- Федеральная служба безопасности Российской Федерации (ФСБ России);
- Федеральная служба охраны Российской Федерации (ФСО России);
- Служба внешней разведки Российской Федерации (СВР России);
- Министерство обороны Российской Федерации (Минобороны России);
- Министерство внутренних дел Российской Федерации (МВД России);
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
- Служба безопасности персонала (Режимный отдел);
- Кадровая служба;
- Служба информационной безопасности.
Организационно-технические и режимные меры и методы
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- Защита объектов информационной системы;
- Защита процессов, процедур и программ обработки информации;
- Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
- Подавление побочных электромагнитных излучений;
- Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Бухгалтерский учет и аудит : Защита информации при документировании ...
... Степень ценности информации и надежность ее защиты находятся в прямой зависимости. Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала ...
- Определение информационных и технических ресурсов, подлежащих защите;
- Выявление полного множества потенциально возможных угроз и каналов утечки информации;
- Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
- Определение требований к системе защиты;
- Осуществление выбора средств защиты информации и их характеристик;
- Внедрение и организация использования выбранных мер, способов и средств защиты;
- Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799-2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
Заключение
В своей работе я рассмотрела основные аспекты информационной безопасности. Изучила нормативную литературу, а также дополнительные источники информации. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
Ценность изучения данной темы определена бурным развитием информационных и телекоммуникационных технологий, их активным внедрением в деятельность предприятий и организаций, и вытекающей из этого потребностью защиты информации.
Литература
[Электронный ресурс]//URL: https://urveda.ru/referat/pravovyie-aspektyi-informatsionnoy-bezopasnosti/
информационная безопасность государственный нормативный
Об электронной цифровой подписи: ФЗ №63-ФЗ от 06.04.2011.
Басалова, Г.В. Основы криптографии / Интернет университет информационных технологий — ИНТУИТ.ру, 2010
Понятие, юридические свойства и виды информации
... систем. Огромное значение имеет и появление новых средств накопления и распространения информации. Безопасность информации, информационных носителей представляет ничуть не меньшую ценность для ... или единого понимания информации как объекта правовых отношений пока не существует. Федеральный закон «Об информации, информационных технологиях и о защите информации» определяет информацию как «сведения ...
Программно-аппаратная защита информации: учеб. пособие / С.К. Варлатая, М.В. Шаханова. — Владивосток: Издательство ДВГТУ. 2007
