Информационная безопасность РФ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РФ

 

Место информационной безопасности и в системе национальной безопасности

 

Прежде, чем определить само понятие информационной безопасности, рассмотрим более общее понятие безопасности и соответственно то место, которое информационная безопасность занимает в системе национальной безопасности.

Общее понятие "безопасность", широко употребляемое в русском языке, характеризует собой "положение, при котором не угрожает опасность кому-нибудь и чему-нибудь". В. Даль указывал, что безопасность есть отсутствие опасности, сохранность, надежность. По С. Ожегову безопасность - это "состояние, при котором не угрожает опасность, есть защита от опасности".

Однако "защита", "защищенность" - это только одна сторона значения слова безопасность. С другой стороны, безопасность означает отсутствие угрозы со стороны объекта, явления или процесса, о безопасности которого идет речь, его безвредность.

В связи с этим, когда мы говорим о безопасности чего-либо или кого-либо, необходимо рассматривать два плана: внутренний - состояние защищенности от внешних угроз и внешний - безвредность для окружающих.

Понятия безопасности законодатель привел в ст. 1 Закона о безопасности, где безопасность определяется как "состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз".

В Концепции национальной безопасности РФ существенно дополнены и конкретизированы положения, ранее закрепленные в Законе о безопасности.

В Концепции введено понятие национальных интересов как совокупности сбалансированных интересов личности, общества и государства. При этом ограничен перечень областей, национальные интересы в которых определяют предмет национальной безопасности: в области экономики, в социальной, внутриполитической, международной, информационной сферах, в области военной (оборонной), пограничной и экологической безопасности.

Интересы личности определены в Концепции как полное обеспечение конституционных прав и свобод, личной безопасности, повышение качества и уровня жизни, физическое, духовное и интеллектуальное развитие. Интересы общества установлены в упрочении демократии, создании правового государства, достижении и поддержании общественного согласия, духовном обновлении России. Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии международного сотрудничества.

Таким образом, укрепление информационной безопасности названо в Концепции национальной безопасности РФ в числе важнейших долгосрочных задач. Роль информационной безопасности и ее место в системе национальной безопасности страны определяется также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое.

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В научной литературе в составе "информационной сферы общества" выделяют:

субъекты информационной сферы;

общественные отношения в информационной сфере;

информационную инфраструктуру общества;

информацию.

В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

 

Термины, относящиеся к видам защиты информации

правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты (Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации).

Термины, относящиеся к способам защиты информации

способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами (Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.)

защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации (Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо)

защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

Термины, относящиеся к замыслу защиты информации

замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

цель защиты информации: Заранее намеченный результат защиты информации (Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию).

система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

Термины, относящиеся к объекту защиты информации

объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо).

носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

Термины, относящиеся к угрозам безопасности информации

угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе. Если уязвимость соответствует угрозе, то существует риск).

вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации (Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ).

Термины, относящиеся к технике защиты информации

техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.

Термины, относящиеся к способам оценки соответствия требованиям по защите информации

оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров (К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации).

специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности (Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение (Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу).

анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

оценка информационного риска: Общий процесс анализа информационного риска и его оценивания.

Термины, относящиеся к эффективности защиты информации

эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.

требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.

норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

 

ЗАЩИТА ИНФОРМАЦИИ

 

Для более глубокого понимания проблемы определим еще два понятия: безопасность информации и защита информации.

Понятие "безопасность информации" распадается на две составляющие:

безопасность содержательной части (смысла) информации - отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом);

защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения.

Таким образом, защита информации входит составной частью в понятие безопасность информации.

 

Цифровая подпись

информационный безопасность защита несанкционированный

Иногда пользователи ИС хотят отказаться от ранее принятых обязательств и пытаются изменить ранее созданные данные или документы. Доктрина информационной безопасности РФ учитывает это и пресекает подобные попытки.

Защита конфиденциальной информации с использованием единого ключа невозможно в ситуации, когда один пользователь не доверяет другому, ведь отправитель может потом отказаться от того, что сообщение вообще передавалось. Далее, не смотря на защиту конфиденциальной информации, второй пользователь может модифицировать данные и приписать авторство другому пользователю системы. Естественно, что, какой бы не была программная защита информации или инженерная защита информации, истина установлена быть не может в данном споре.

Цифровая подпись в такой системе защиты информации в компьютерных системах является панацеей проблемы авторства. Защита информации в компьютерных системах с цифровой подписью содержит в себе 2 алгоритма: для вычисления подписи и для ее проверки. Первый алгоритм может быть выполнен лишь автором, а второй - находится в общем доступе для того, чтобы каждый мог в любой момент проверить правильность цифровой подписи.

 

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РФ