Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   2   3   4   5   6   7   8   9   ...   14
^

ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ




1.1. Понятие информационной безопасности



Безопасность становится ключевым приоритетом, вследствие того, что информатика и связь стали ключевыми факторами экономического и социального развития. В настоящее время информационные системы и информационно-телекоммуникационные сети поддерживают сервисы и переносят данные в таких количествах, которые трудно было себе представить еще несколько лет назад. Их готовность также необходима для работы других инфраструктур, таких как коммунальные или электрические сети. Поскольку существует повсеместный спрос на возможности, предоставляемые сетями связи, со стороны предприятий, граждан, органов ГМУ, безопасность этих систем становится необходимым условием их дальнейшего развития. В Доктрине информационной безопасности Российской Федерации от 9 сентября 2000 года говорится: «Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать». Здесь следует определить, что подразумевается под безопасностью. Компьютерная система может быть, например, системой с совместным доступом, веб-сервером, банковской системой или системой платного телевидения. Для каждого случая определение безопасности означает спецификацию политики безопасности, т.е. множества желаемых целей. Например, электронная система голосования должна быть установлена таким образом, чтобы голосовать могли только зарегистрированные избиратели, доступ к веб-серверу должен осуществляться только за плату, только авторизованные пользователи должны подключаться к банковской системе и т.д.

После того, как определены цели безопасности, необходимо установить механизмы безопасности, т.е. средства, обеспечивающие достижение поставленных целей. Например, процесс проверки зарегистрированных избирателей должен гарантировать только их голосование. Протокол оплаты должен обеспечивать регулярные платежи клиентов за доступ к веб-серверу. Пароли должны давать доступ в сеть только авторизованным пользователям. Как только запущены механизмы безопасности, они должны регулярно проверяться, для того, чтобы выявить возможные уязвимые места, т.е. слабости, которые оставляют систему открытой для нападения.

Большинство систем не являются защищенными. Враждебные стороны, которые используют слабости системы для причинения вреда, рассматриваются как угрозы. Объект безопасности – это то, что защищается от угроз. Он во многом определяет содержание понятия «безопасность», обусловливая возможные угрозы и характеристики состояния защищенности от угроз. Безопасность объекта проявляется через безопасность его наиболее важных свойств или свойств структурных составляющих. Если слабость выявлена, то разрабатываются средства защиты или контрмеры по ее устранению. Если объектом безопасности является человек, то его безопасность заключается в защищенности от угроз ему, как живому организму, и угроз ему, как носителю определенных психических и духовных качеств, т.е. личности. Если объектом безопасности является общество, т.е. общность людей на определенной территории, характеризующаяся экономическим и духовным единством и целостностью организации жизни [1, с.4], то его безопасность будет заключаться в защищенности от угроз его членов, а также исторически развивающейся системы отношений между людьми, проявляющейся в системе его социальных институтов, включая государство как важный социальный институт легитимной власти. Как уже отмечалось, безопасность объекта характеризуется безопасностью его свойств. К числу таких свойств общества относится наличие различных сфер общественной жизни. Соответственно, в содержании национальной безопасности различают государственную, экономическую, общественную, оборонную, информационную, экологическую и иную безопасность1. Государственная безопасность имеет своим объектом состояние органов ГМУ, экономическая безопасность – экономику общества [2, с. 64], общественная безопасность – социальные институты [2, с. 61], экологическая безопасность – окружающую среду и человека [2, с. 64] и т.д.

Безопасность проявляется как противодействие на заданном уровне попыткам нанести вред функционированию и свойствам объекта, либо его структурных составляющих. Одной из важных структурных составляющих многих объектов безопасности является информация или деятельность, предметом которой является информация. Таким образом, информационная безопасность государства заключается в способности государственных информационных систем или информационно-телекоммуникационных сетей к противодействию на заданном доверительном уровне случайным происшествиям или злонамеренным действиям нарушителей.

^

1.2. Задача устойчивого развития в информационной сфере



Обеспечение эффективного государственного и муниципального управления (ГМУ) всегда имело первостепенное значение. В этой связи разрабатывались разные концепции, методы и технологии управления, основой которых неизменно являлась информация, значение которой все более возрастало, и успехи научно-технического прогресса в информатике и связи открыли перспективу формирования информационного общества. Будучи общегосударственной, информация включает в себя широкий спектр межотраслевых, отраслевых, региональных, муниципальных и даже международных составляющих.

^ Государственное (муниципальное) управление – процесс выполнения комплекса операций, ориентированных на достижение государственных (муниципальных) целей, которые описываются на языке, отображающем желаемые состояния государства, отраслей, регионов и муниципальных образований. Функции органов ГМУ представляют собой совокупность логически взаимоувязанных действий – операций, которые нацелены на достижение как стратегических целей, так и обеспечивающих решение тактических задач. Операции должны быть упорядочены по времени, последовательности их выполнения и составу участников (органов власти, других юридических и физических лиц).

Государственное и муниципальное управление в Российской Федерации, прежде всего, имеет практический организационно-правовой смысл, выражающийся в форме осуществления исполнительной, законодательной и судебной власти на федеральном (государственном) уровне и на региональном, местном (муниципальном) уровне управления. Часто при характеристике информационных отношений эти два уровня управления обозначают для удобства как органы власти или управления, или же просто управление. Принципиальных требований здесь не существует, т.к. информационные отношения объединяют государственное и муниципальное управление в единое целое. При отборе, поступлении, классификации, синтезе, хранении, обработке, использовании информации в сфере ГМУ получается замкнутый круг, связывающий одновременно все уровни управления.

Основополагающей целью ГМУ является оптимальная организация и структурирование жизни общества, что предполагает следующее:

  • упорядочение общественной жизни и удовлетворение общественных интересов, достижение экономического благосостояния, построение и поддержание определенной системы экономических отношений;

  • вовлечение в управление всех политических сил в стране, поддержание процессов в обществе и государстве, способствующих совершенствованию государственных и общественных структур, развитию человека;

  • обеспечение прав и свобод граждан, законности в обществе, общественного порядка и безопасности, в т. ч. информационной;

  • формирование правовой системы, способствующей реализации организационно-правового смысла управления и решения его задач.

Системы информационного обеспечения органов ГМУ можно разделить на следующие виды:

– государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;

– муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

– иные информационные системы (например, негосударственные системы, используемые в интересах предоставления информационных услуг органам ГМУ).

Системы информационного обеспечения на федеральном уровне создаются по решению федеральных органов государственной власти и управления. Муниципальные системы – соответственно муниципальными органами власти.

Если рассмотреть региональные органы власти и органы местного самоуправления, то кризисные явления в территориях проистекают из-за отсутствия необходимой информационной инфраструктуры в сфере ГМУ. Отсутствие достоверной и актуальной информации, в необходимом объеме и своевременно представленной руководителю ГМУ, лишает его возможности точной стратегической оценки ситуации и выработки адекватного прогноза развития событий. Зачастую он вынужден, полагаясь на интуицию и опыт, реализовывать некоторые тактические шаги, рискуя превратить их цепь в стратегическую ошибку. Гася появляющиеся то в одной, то в другой сфере очаги напряженности, он и не в силах оперировать информационно-аналитическими категориями, абстрагироваться от текучки и наметить стратегические пути выхода из кризиса. Пожалуй, это одна из самых серьезных угроз и ее следует отнести к информационным угрозам устойчивого развития.

Только формирование информационной инфраструктуры территорий ГМУ, создание эффективных информационных ресурсов и соответствующих аналитических служб (подразделений) позволит преодолеть эту угрозу. Все вышеизложенное позволяет рассматривать проблему как совокупность четырех задач:

  1. Создание информационных ресурсов субъекта, необходимых и достаточных для принятия решений и действий, не наносящих ущерб безопасности субъекта и способствующих его устойчивому развитию.

  2. Качественное проектирование системы для обеспечения эффективных информационных процессов.

  3. Эффективное руководство и контроль за обработкой и передачей информации.

  4. Защита информационных ресурсов субъекта от несанкционированного
    использования, разрушения и иного информационного воздействия, представляющего угрозу устойчивому развитию субъекта.

С учетом того, что эти задачи во многом взаимосвязаны, можно назвать эту постановку – задачей устойчивого развития в информационной сфере. Представляется, что именно в такой совокупности возможно комплексное разрешение проблем устойчивого развития в сфере ГМУ, муниципальных образований и прочих субъектов хозяйствования.
^

1.3. Виды защищаемой информации в сфере государственного
и муниципального управления



Известно, что айсберг находится в устойчивом состоянии, пока его подводная часть по своему объему превышает его составляющую, находящуюся над поверхностью воды. Определенную аналогию можно провести и для информационных ресурсов, «кристаллизованных» в субъекте ГМУ, который дрейфует в «океане информации». Общедоступная (открытая) информация субъекта (надводная часть), как правило, менее емкая, чем его информация ограниченного доступа (подводная часть). Даже в условиях, так называемого, открытого общества это соотношение имеет место для всякого субъекта, сохраняющего устойчивость. Под воздействием многочисленных угроз, обусловленным конкуренцией и стихией рынка, субъект должен создавать ресурс конфиденциальной информации (ноу-хау и др.), необходимой для выживания в данной ему степени свободы. Фактически соотношение (баланс) емкостей открытого и закрытого информационного ресурса есть непременное условие его устойчивого развития. Причем в понятие «емкость» в данном случае вкладывается интегральная оценка: объем, помноженный на ценность информации.

Характерной чертой устойчивого развития субъекта является постепенный перевод части конфиденциальной информации в ранг общедоступной (кристаллизация новых объемов понижает ватерлинию айсберга). В этом случае наличествует информационный прогресс, который, тем не менее, не отменяет условие баланса надводной и подводной частей для устойчивости айсберга (субъекта).

Опыт показывает, что в общей системе ГМУ (как в развитии экономики и управлении, так и в подготовке и ведении общественно-политических компаний) наиболее важным элементом с годами становилось достижение превосходства в информационной сфере. Этим обстоятельством и определяется существование институтов тайн, создающих возможность для ГМУ проводить независимую информационную политику, защищать свои интересы, осуществлять управление обществом, регионом, муниципальным образованием.

Система секретной и конфиденциальной информации – наиболее сильное звено регулирования общественных отношений в информационной сфере. Вследствие возможного существенного ущерба от ее разглашения информация ограниченного доступа занимает особое место в системе управления. Институт тайн – важнейший элемент системы государственного и муниципального управления.

Основу нормативно-правового обеспечения защиты информации ограниченного доступа РФ составляют Конституция РФ, Законы «О безопасности», «О государственной тайне», «Об информации, информационных технологиях и защите информации», «Положение о лицензировании деятельности по международному информационному обмену» и другие.

Муниципальное управление также как и государственное безусловно имеет дело с информацией ограниченного доступа. В этой сфере управления преобладает информация конфиденциального характера, но это не исключает возможности присутствия и сведений, составляющих государственную тайну.

В условиях сегодняшней России (расширяющееся международное сотрудничество, либерализация экономики, развитие интеграционных процессов и конверсии, создание свободных экономических зон, увеличение количества объектов иностранных инспекций, свободное перемещение иностранцев по большей части территории страны, широкое внедрение компьютерной техники импортного производства во все сферы деятельности государства, увеличение объема научно-технических материалов, публикуемых в открытой печати) значительно возросла опасность утечки сведений, составляющих информацию ограниченного доступа. Вследствие этого важнейшими задачами органов ГМУ являются: обеспечение необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями на ее распространение, а также развитие и защита государственного и муниципального информационного ресурса.

В действующем законодательстве РФ встречается упоминание о различных видах тайн (государственная, служебная, коммерческая, банковская, личная, семейная тайна, тайна следствия, связи, почтовых отправлений и другие). Приведем наиболее важные определения в данной области и дадим необходимую классификацию.

^ Защищаемой информацией называется информация, подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми обладателем информации. Обладателем информации может быть – гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. К защищаемой информации относится информация с ограниченным доступом, а также открытая информация, представляющая ценность.

^ Информацией с ограниченным доступом называется информация, доступ к которой ограничен в соответствии с Федеральным Законом с целью защиты прав и законных интересов субъектов права на тайну. Она состоит из государственной тайны и конфиденциальной информации. Конфиденциальная информация, в свою очередь, включает множество видов тайны, которое сводится к шести основным видам: персональные данные, тайна следствия и судопроизводства, служебная тайна, профессиональная тайна, коммерческая тайна, тайна изобретения, полезной модели или промышленного образца. Особую важность с точки зрения безопасности государства имеет защита информации, составляющей государственную и служебную тайну.

^ Государственная тайна – защищаемые государством сведения в области его военной внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

^ Конфиденциальная информация – информация, не составляющая государственную тайну, доступ к которой ограничивается в соответствии с законодательством РФ.

^ Персональные данные – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

^ Тайна следствия и судопроизводства – защищаемая по закону конфиденциальная информация, ставшая известной в органах следствия и судопроизводства только на законных основаниях в ходе следствия и судопроизводства, а также служебная информация о деятельности органов следствия и судопроизводства, доступ к которой ограничен федеральным законом или в силу служебной необходимости.

^ Служебная тайна – защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.

^ Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений, банковская и так далее).

^ Коммерческая тайна – научно-техническая, технологическая, коммерческая, организационная или иная используемая в экономической деятельности информация, имеющая действительную потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании и по отношению к которой принимаются адекватные ее ценности меры охраны.

^ Тайна изобретения, полезной модели или промышленного образца – сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В ряде случаев нет четкой границы между классификационными группами информации ограниченного доступа. Так, например, сведения, составляющие коммерческую тайну фирмы, при передаче их в органы государственной власти становятся в тоже время служебной тайной этих органов. Персональные данные при передаче их в органы государственной власти также становятся в тоже время служебной тайной этих органов. Информация, составляющая личную тайну, в медицинских учреждениях становится врачебной тайной

Можно выделить первичные и вторичные виды тайн. К первичным видам тайн относятся личная, коммерческая, государственная тайны. Все остальные виды тайн вторичные, возникающие при передаче первичных тайн другим обладателям или пользователям.

Согласно законодательству обязательными признаками информации с ограниченным доступом должны быть:

  1. Информация имеет действительную или потенциальную ценность для ее обладателя в силу неизвестности ее третьим лицам. Такими лицами могут быть государство, юридические или и физические лица.

  2. К информации нет свободного доступа на законном основании. Возможность сохранения ее неизвестной для третьих лиц установлена законом.

  3. Обладатель информации принимает меры по ее защите.

При этом к государственной тайне относятся сведения, удовлетворяющие следующим признакам:

  1. Сведения в строго установленных сферах деятельности государства (военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности) и ни в каких других;

  2. Сведения, не известные широкому, точнее – неопределенному неконтролируемому кругу лиц, и, представляющие ценность именно в силу такой неизвестности;

  3. Сведения, распространение которых может нанести ущерб безопасности РФ. Следует подчеркнуть, что распространение этих сведений наносит ущерб не отдельных физических или юридических лиц, а государства в целом. При этом величина ущерба такова, что влияет на безопасность государства;

  4. Сведения, относительно которых предпринимаются специальные меры защиты, направленные на предотвращение их неконтролируемого распространения.

Федеральный Закон РФ «Об информации, информационных технологиях и защите информации» (ст. 9) указывает, что режим защиты информации устанавливается:

  • в отношении сведений, отнесенных к государственной тайне – уполномоченными органами на основании Закона РФ «О государственной тайне»;

  • в отношении конфиденциальной информации – обладателем информационных ресурсов или уполномоченным им лицом на основании Федерального Закона и (или) по решению суда;

  • в отношении персональных данных – Федеральным Законом.

Организации, оперирующие информацией с ограниченным доступом от имени государства, создают специальные службы, обеспечивающие защиту данной информации.

^

1.4. Национальные интересы в информационной сфере и обеспечение их безопасности



Национальные интересы представляют собой признанную государством сбалансированную совокупность социальных интересов индивида как личности, интересов общества и государства, включая их интересы в сохранении национальной идентичности, реализация которой, обеспеченная правом, служит гарантией существования, безопасности и устойчивого развития нации в конкретных исторических условиях. Информационная сфера представляет собой совокупность информации и информационной инфраструктуры.

Национальные интересы в информационной сфере определяются прежде всего той ролью, которую играет информация, информационная инфраструктура в обеспечении устойчивого развития нации в конкретных исторических условиях, а также в сохранении национальной идентичности. Эти интересы образуются сбалансированной совокупностью социальных интересов индивида как личности, интересов общества и государства, реализуемых в информационной сфере.

Социальные интересы личности в демократическом обществе направлены прежде всего на свободу распространения своих убеждений, интеллектуального творчества, сохранение в неприкосновенности своего внутреннего мира, свободу самовыражения и самосовершенствования, свободу общения с другими людьми, защиту своей свободы от ее ограничения другими людьми, общественными организациями и государством. Интересы общества направлены на использование информационной сферы для обеспечения устойчивого развития общества. Интересы ГМУ – на повышение эффективности использования информационной сферы для выполнения функций управления делами общества. Эти интересы обеспечиваются поддержанием определенного правового статуса личности, институциональных образований общества и органов ГМУ.

Под угрозами национальным интересам понимается совокупность условий и факторов, препятствующих реализации национальных интересов страны, создающих опасность национальным ценностям и национальному образу жизни [6, с.17].

^ Информационная безопасность представляет собой состояние защищенности национальных интересов в информационной сфере от угроз внутреннего и внешнего характера, а обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда реализации национальных интересов в информационной сфере и средств ее осуществления.

^

Контрольные вопросы





  1. Сформулируйте различие между политикой безопасности и механизмами безопасности. Каким образом, по вашему мнению, это различие может отразиться на времени их использования в первоначальном виде?

  2. В чем причины того, что большинство вычислительных систем имеет слабости, которые оставляют систему открытой для нападения?

  3. Дайте определение понятию «общество». Какие сферы общественной жизни нуждаются в контроле и защите согласно Закону РФ «О безопасности»?

  4. Рассмотрим шифр с секретным ключом, представляющий собой матрицу 33  33, заголовки столбцов и строк которой содержат символы АБВ…Я. Открытый текст шифруется по два символа. Первый символ указывает столбец, а второй – строку. В ячейке матрицы на пересечении столбца и строки содержатся два символа зашифрованного текста. Какие правила должны выполняться для этой матрицы? Сколько возможно ключей у такого шифра?

  5. Дайте определение понятию «государственное и муниципальное управление (ГМУ)». Какие особенности позволяют выделить два уровня управления – федеральный и региональный? Что их объединяет с информационной точки зрения?

  6. В чем состоит угроза устойчивого развития в сфере ГМУ? Решение каких задач позволяет ее преодолеть?

  7. Какие шаги, по вашему мнению, необходимо предпринять, чтобы обеспечить создание информационных ресурсов субъекта управления?

  8. Перечислите виды систем информационного обеспечения органов ГМУ.

  9. Каким требованиям должна отвечать система, обеспечивающая эффективные информационные процессы?

  10. Раскройте содержание понятия «эффективное руководство и контроль за обработкой и передачей информации».

  11. Почему нельзя достичь целей защиты информационных ресурсов субъекта от несанкционированного использования, разрушения и иного информационного воздействия, представляющего угрозу устойчивому развитию субъекта, без решения предшествующих задач?

  12. Перечислите компоненты, образующие информационную сферу.

  13. Дайте определение защищаемой информации. Почему нельзя защитить всю информацию?

  14. Общеизвестно, что информация размещается на носителях (твердых копиях, дисках, компьютерах и т.п.). Почему нельзя ограничить задачу защиты информации только защитой носителей информации?

  15. Перечислите виды информации с ограниченным доступом (ИОД).

  16. Перечислите обязательные признаки информации с ограниченным доступом.

  17. По какому признаку разделяется ИОД на первичные и вторичные виды тайн?

  18. Какими признаками обладает информация, относящаяся к государственной тайне?

  19. Отсутствие эха при вводе пароля безопаснее, чем вывод эха в виде звездочек вместо каждого символа, так как последний вариант позволяет определить длину пароля любому, кто окажется рядом с экраном. Предположим, что пароль состоит только из латинских букв в верхнем и нижнем регистре и цифр, а длина его – от 5 до 8 знаков, то насколько безопаснее вообще ничего не отображать?

  20. Определите понятие «нация».

  21. Что образует национальные интересы, и что является гарантией их достижения?

  22. В чем состоят интересы государства в информационной сфере?

  23. Что определяет безопасность национальных интересов в информационной сфере?

  24. Рассмотрим следующий способ шифрования файла. Для алгоритма шифрования используются два n-байтовых массива, A и B. Первые n байтов считываются из файла в массив A. Затем A[0] копируется в B[i], A[1] копируется в B[j], A[2] копируется в B[k] и т.д. После того как все n байтов скопированы в массив B, этот массив записывается в выходной файл, после чего в массив A считываются следующие n байтов. Эта процедура повторяется до тех пор, пока не будет зашифрован весь файл. В данной схеме шифрования символы не заменяются одни другими, а меняются местами. Сколько ключей следует перебрать, чтобы путем полного перебора взломать данный шифр? Укажите преимущество данной схемы перед моноалфавитным перестановочным шифром.
1   2   3   4   5   6   7   8   9   ...   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации