2. Основные понятия и определения

Основой существующих понятий информационной безопасности является известное понятие безопасности, приведенное в Законе РФ "О безопасности". Президент России, председатель Совета безопасности (СБ) РФ Дмитрий Медведев 12 мая 2009 г.подписал указ "О Cтратегии национальной безопасности Российской Федерации до 2020г.".

В Стратегии используются следующие основные понятия:

"национальная безопасность" - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;

"национальные интересы Российской Федерации" - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;

"угроза национальной безопасности" - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;

"стратегические национальные приоритеты" - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;

"система обеспечения национальной безопасности" - силы и средства обеспечения национальной безопасности;

"силы обеспечения национальной безопасности" - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;

"средства обеспечения национальной безопасности" - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.

7. Силы и средства обеспечения национальной безопасности сосредоточивают свои усилия и ресурсы на обеспечении национальной безопасности во внутриполитической, экономической, социальной сферах, в сфере науки и образования, в международной, духовной, информационной, военной, оборонно-промышленной и экологической сферах, а также в сфере общественной безопасности.

107. Информационная и информационно-аналитическая поддержка реализации настоящей Стратегии осуществляется при координирующей роли Совета Безопасности Российской Федерации за счет привлечения информационных ресурсов заинтересованных органов государственной власти и государственных научных учреждений с использованием системы распределенных ситуационных центров, работающих по единому регламенту взаимодействия.

108. Для развития системы распределенных ситуационных центров в среднесрочной перспективе потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами, а также обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.

109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

Основными объектами безопасности в соответствии с Законом РФ "О безопасности" являются права и сво­боды личности, духовные материальные ценности общества, консти­туционный строй, суверенитет и территориальная целостность госу­дарства.

В силу этого обеспечение безопасности связано с системой мер различного характера, адекватных угрозам жизненно важным интересам личности, общества, государства, направленных на выявление и предупреждение угроз.

Угроза безопасности понимается как совокупность условий и факторов, соз­дающих опасность жизненно важным интересам личности, общества и государства.

С учетом этого общего понятия безопасности, а также рассмот­ренных ранее определения безопасности и целей защиты информации можно считать, что наиболее полным будет определение информаци­онной безопасности, приведенное в Доктрине информационной безопасности Российской Федерации (Утверждена Указом Президента РФ от 9 сентября 2000 года № Пр-1895).

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Содержания определения безопасности рассматривает состояние защищенности интересов личности, общества и государства в информационной сфере от воздействия внутренних и внешних уг­роз. Вполне очевидно, что и состояние защищенности информацион­ной среды различных сфер деятельности, личности общества и госу­дарства также зависит от угроз, источником которых могут быть ин­формация, информационные процессы, технологии и системы. Ин­формация, информационные процессы, технологии и системы, в то же время являются и объектами защиты, как составляющие информаци­онной среды.

Угроза информации (дестабилизирующий фактор) – явление (со­бытие, случай), которое может произойти в интересующем интервале времени и следствием которого может быть существенное (имеющее значение) нежелательное воздействие на защищаемую информацию по одному или нескольким аспектам статуса защищенности.

Уязвимость информации – свойство информации, находящейся в системе ее обработки, подвергаться воздействию внутренних или внешних угроз с точки зрения одного или нескольких атрибутов стату­са защищенности.

Показатель защищенности информации – характеристика, имеющая однознач­но интерпретируемое содержание, по значению ко­торой можно судить об уровне защищенности информации.

Уровень защищенности информации – значения представляющих интерес по­казателей защищенности, обеспечиваемые в конкретном со­стоянии системы ее обработки используемыми методами и средствами защиты.

Система защиты информации – организованная совокупность методов, средств и мероприятий; создаваемая в системе обработки данных для защиты инфор­мации.

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, которая образована совокупностью информации, инфор­мационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Сегодня влияние информации, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, на все стороны жизни индивидуума и социума исключительно велики.

Напомню Вам, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памят­ные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судеб­ные документы и другое.

Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Более того, национальная безопасность страны существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

Постулаты:

1. Информация – это всеобщее свойство материи.

2. Любое взаимодействие в природе и обществе ос­новано на информации.

3. Всякий процесс совершения работы есть процесс информационного взаимодействия.

4. Информация – продукт отражения действительности.

5. Действительность отражается в пространстве и времени.

6. Ничего не происходит из ничего.

7. Информация сохраняет свое значение в неизмен­ном виде до тех пор, пока остается в неизменном виде носитель информации – ПАМЯТЬ.

8. Ничто не исчезает просто так.

Как и всякий продукт, информация имеет потре­бителей, нуждающихся в ней, и потому обладает опре­деленными потребительскими качествами, а также имеет и своих обладателей или производителей.

С точки зрения потребителя, качество используе­мой информации позволяет получать дополнительный экономический или моральный эффект, а также реализовать решение возложенных задач, например правоохранительным органам.

С точки зрения обладателя – сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта това­ров и услуг, а также выполнять возложенные функции. Это, естественно, требует опре­деленных действий, направленных на защиту конфиденциальной информации.

Под информационной безопасностью (ИБ) понимается состояние защищенности интересов, будь-то личности, общества, предприятия или даже государства в информационной сфере, определяющихся совокупностью сбалансированных интересов.

Таким образом, понимая под безопасностью состояние защищен­ности жизненно важных интересов личности, пред­приятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности – такие, как персонал, материальные и финансовые средства и информацию.

Как свидетельствует отечествен­ная и зарубежная печать, злоумышленные дей­ст­вия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.

Опыт показывает, что для борьбы с этой тенден­цией необходима стройная и це­ленаправленная орга­низация процесса защиты информационных ресурсов. При­чем в этом должны активно участвовать профес­сиональные специалисты, адми­нистрация, сотрудни­ки и пользователи, что и определяет повышенную зна­чи­мость организационной стороны вопроса. Более того, можно говорить о весьма зна­чимом "человеческом" факторе.

Таким образом, возникает необходимость введения еще одного термина – безопасность информации.

Обычно под безопасностью информации понимается такое ее состояние, при котором сохраняются целостность защищаемой информации – то есть отсутствие утраты или модификации информации – и установленный режим доступа – то есть отсутствие несанкционированного ознакомления или копирования информации. Иногда "формула" безопасности информации дополняется третьим "слагаемым" – сохранностью доступности информации, которая может быть утрачена в результате неправомерных или ошибочных действий, сбоев в работе технических средств (так, например, повреждение таблицы размещения файлов – FAT, делает невозможным доступ к сведениям, расположенным на компьютерном носителе, с помощью стандартных программных средств). Государственный отраслевой стандарт Российской Федерации¹ постулирует следующие основные угрозы безопасности информации: утечка, преднамеренные неправомерные воздействия на защищаемую информацию или технические средства и непреднамеренные воздействия (стихийные бедствия, техногенные катастрофы, аварии, отказы технических средств).

Опыт также показывает, что:

– обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный про­цесс, заключающийся в обосновании и реализа­ции наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправ­ных действий;

– безопасность информации может быть обеспечена лишь при комплексном использовании всего арсе­нала имеющихся средств защиты во всех структур­ных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все исполь­зуемые средства, методы и меры объединяются в единый целостный механизм – систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изме­нения внешних и внутренних условий;

– никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защи­ту (рис. 1).

С учетом накопленного опыта можно говорить о возникновении систем защиты информации.

Дадим определение этому понятию: система защиты информации – есть не что иное, как сознательное создание совокупности специальных методов и средств, мероприятий и органов, обеспечивающих защиту информации от внут­ренних и внешних угроз.

С позиций системного подхода к защите инфор­мации предъявляются определенные требования. За­щита информации должна быть:

– непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возмож­ность, как бы обойти защиту интересующей их ин­формации;

– плановой. Планирование осуществляется путем разработки каждой службой детальных планов за­щиты информации в сфере ее компетенции с уче­том общей цели предприятия (организации);

– целенаправленной. Защищается то, что должно за­щищаться в интересах конкрет­ной цели, а не все подряд;

– конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых мо­жет причинить организации определенный ущерб;

– активной. Защищать информацию необходимо с достаточной степенью настойчивости;

– надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомер­ного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреп­лены;

– универсальной. Считается, что в зависимости от вида канала утечки или способа несанкциониро­ванного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, фор­мы и вида информации;

– комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защи­та – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвя­занных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различ­ных взаимообусловливающих друг друга сторон, свойств, тенденций.

Теперь дадим определение понятию "защита информации". Итак, защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. В последующих лекциях дадим определение именно защищаемой информации.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогран­ных требований безопасности система защиты ин­формации должна удовлетворять определенным ус­ловиям:

– охватывать весь технологический комплекс инфор­мационной деятельности;

– быть разнообразной по используемым средствам, многоуровневой с иерархической последователь­ностью доступа;

– быть открытой для изменения и дополнения мер обеспечения безопасности информации;

– быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосве­домленность злоумышленников относительно ее воз­мож­но­с­тей;

– быть простой для технического обслуживания и удобной для эксплуатации пользователями;

– быть надежной. Любые поломки технических средств являются причиной появления неконтро­лируемых каналов утечки информации;

– быть комплексной, обладать целостностью, озна­чающей, что ни одна ее часть не может быть изъя­та без ущерба для всей системы.

К системе безопасности информации предъявля­ются также определенные требования:

– четкость определения полномочий и прав пользо­вателей на доступ к определенным видам инфор­мации;

– предоставление пользователю минимальных пол­номочий, необходимых ему для выполнения пору­ченной работы;

– сведение к минимуму числа общих для несколь­ких пользователей средств защиты;

– учет случаев и попыток несанкционированного до­ступа к конфиденциальной информации;

– обеспечение оценки степени конфиденциальной информации;

– обеспечение контроля целостности средств защи­ты и немедленное реа­ги­ро­ва­ние на их выход из строя.

Система защиты информации, как любая система, должна иметь определенные виды собственного обес­печения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

– правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;

– организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации тех­ническими средствами; информационно-аналити­ческая деятельность и другими;

– аппаратное обеспечение. Предполагается широкое использование технических средств как для защи­ты информации, так и для обеспечения деятельно­сти собственно СЗИ;

– информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечиваю­щих функционирование системы. Сюда могут вхо­дить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчет­ных задач различного характера, связанных с де­ятельностью службы обеспечения безопасности;

– программное обеспечение. К нему относятся раз­личные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к ис­точникам конфиденциальной информации;

– математическое обеспечение. Предполагает ис­пользование математических методов для различ­ных расчетов, связанных с оценкой опасности тех­нических средств злоумышленников, зон и норм необходимой защиты;

– лингвистическое обеспечение. Совокупность спе­циальных языковых средств общения специалис­тов и пользователей в сфере защиты информации;

– нормативно-методическое обеспечение. Сюда вхо­дят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспе­чивающие деятельность пользователей при выпол­нении своей работы в условиях жестких требова­ний защиты информации.

Под системой безопасности будем понимать орга­низованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечиваю­щих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и сред­ства деятельности, которые согласовываются по мес­ту и времени в зависимости от условий.

Удовлетворить современные требования по обеспечению безопасности пред­приятия и защиты его конфиденциальной информации может только комплексная сис­те­ма безопасности.