Система обеспечения информационной безопасности в государственном учреждении

1. Основа информационной  безопасности 

1.1. Термины и определения 

Перед дальнейшим изложением материала обозначим некоторые  термины и определения, которые  будут использоваться в дипломном  проекте.

Информация - сведения (сообщения, данные) независимо от формы  их представления;

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения  информации и способы осуществления  таких процессов и методов;

Информационная система - совокупность содержащейся в базах  данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

Информационно-телекоммуникационная сеть - технологическая си-стема, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

Обладатель информации - лицо, самостоятельно создавшее информа-цию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

Доступ к информации - возможность получения информации и ее ис-пользования;

Конфиденциальность  информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам  без согласия ее обладателя;

Предоставление информации - действия, направленные на получение  информации определенным кругом лиц  или передачу информации определенному  кругу лиц;

Распространение информации - действия, направленные на получение  информации неопределенным кругом лиц  или передачу информации неопределенному  кругу лиц;

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных  законодательством Российской Федерации  случаях ее материальный носитель;

Оператор информационной системы - гражданин или юридическое  лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

[2, ст.2]

 Информационная  безопасность – сохранение конфиденциальности, целостности и доступности информации.

Конфиденциальность  – обеспечение доступа к информации только для авторизованных пользователей, имеющих право на доступ к ней.

Целостность – защита точности и полноты информации и  методов ее обработки.

Доступность – обеспечение  доступности информации и связанных  с ней ресурсов авторизованным пользователям  при необходимости.

Оценка рисков –  оценка угроз для информации и  средств ее обработки, возможного ущерба для них в случае нарушения  безопасности, их уязвимостей а также возможности их возникновения.

Управление рисками  – процесс определения, контроля и уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые  могут повлиять на информационные системы. [9] 
 

1.2.  Цели и задачи информационной безопасности. 

В государственном  учреждении обеспечение информационной безопас-ности проводится в целях:

- предупреждения утечки, хищения, утраты, искажения и подделки инфор-мации;

- предотвращения угроз безопасности структур и несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, а также других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности;

- обеспечения организаций, населения и органов управления полной и до-стоверной информацией, необходимой для принятия решения и успешного функционирования всех структур  в повседневной деятельности и в условиях чрезвычайных ситуаций;

- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности информации.

Цели информационной безопасности могут уточняться в  зависимости от содержания информационных технологий, периода жизненного цикла  объекта информационной безопасности или изменившейся обстановки.

К основным задачам  информационной безопасности следует  отнести:

- выявление, оценка и прогнозирование источников угроз информационной безопасности, технических систем и средств разведки, способах и средствах несанкционированного доступа к информации;

- разработка обоснованных моделей возможных негативных воздействий на информацию;

- выработка критериев и методов количественной оценки негативного воз-действия на информацию;

- оценка опасности информации, ее искажения, уничтожения, подделки, блокирование в системах и средствах информации и связи, эффективно-сти ее защиты;

- разработка средств и способов предотвращения, парирования и нейтрализации угроз информационной безопасности;

- совершенствование организации, способов, технологий и технических средств, образующих систему информационной безопасности. 

1.3 Основные принципы  обеспечения информационной безопасности. 

Прежде чем анализировать  понятие информационной безопасности, необходимо разобраться с двумя  ключевыми категориями: информация и безопасность. Закон РФ "О  безопасности" определяет безопасность как состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних  угроз. К жизненно важным интересам  относится совокупность потребностей, удовлетворение которых надежно  обеспечивает существование и возможности  прогрессивного развития личности, общества и государства. Таким образом, безопасность представляет собой состояние защищенности.

Не всегда "состояние  защищенности" подразумевало также  безопасность информационную - необходимость  в этом назрела только тогда, когда  средства коммуникаций стали играть ключевую роль в обеспечении превосходства  одной стороны над другой.

Можно с уверенностью говорить о том, что сеть Интернет появилась как попытка обеспечить информационную безопасность США в то время, когда Советский Союз запустил в 1957 году первый искусственный спутник Земли. Американские военные, пораженные возможностями противника и обеспокоенные тем, что подобные "Спутнику" баллистические ракеты могут вывести из строя сети коммуникаций в случае войны и тем самым предопределить ее исход, озадачились тем, как сделать эти коммуникационные сети более устойчивыми. Нужно было создать такую инфраструктуру, которая не имела централизованного управления и была невосприимчива к повреждениям значительной ее части. В результате была создана сеть ARPAnet, в основе которой принцип коммутации пакетов, а не каналов (как в случае с телефонной связью).

В настоящее время  проблема информационной безопасности стоит еще более остро, поскольку  значительно возросла роль накопления, обработки и распространения  информации, в частности, в принятии стратегических реше-ний, увеличилось количество субъектов информационных отношений и потребителей информации. Информация играет все большую роль в процессе жизнедеятельности человека. Об этом свидетельствует хотя бы тот факт, что средства массовой информации часто называют четвертой властью (наряду с законодательной, исполнительной и судебной).

Формально информационная безопасность - это состояние защищенности основных сфер жизнедеятельности по отношению к опасным информационным воздействиям.

Если предельно  упростить ситуацию с опасными информационными  воздействиями, то можно привести пример с так называемым "25-м кадром" в телевизионных передачах и  фильмах: такой кадр человек не видит, однако мозг этот сигнал воспринимает, обрабатывает и дает соответствующие  команды. На поверку возможности  технологии 25-го кадра оказываются  несколько преувеличенными, и публикации в прессе походят во многом на "утку". Одна газета даже писала о компьютерном вирусе, действующем на основе принципа 25-го кадра, который убивает пользователя. Но не стоит также сбрасывать со счетов изобретательность человеческого  разума, который создал однажды атомную  бомбу. В Японии в конце 90-х годов  сразу несколько сотен детей  были госпитализированы с сильными го-ловными болями, предположительно вызванными просмотром популярного мультипликационного фильма: в нескольких его кадрах использовалось определенное цветовое сочетание, сопровождавшееся яркими вспышками.

Часто самые опасные  информационные воздействия называют информационным оружием.

Информационное оружие - средства уничтожения или хищения  информационных массивов, добывания  из них необходимой информации после  преодоления системы защиты, ограничения  или воспрещения доступа к  ним законных пользователей, дезорганизация работы технических средств, вывода из строя телекоммуникационных сетей, компьютерных систем, всех средств  высокотехнологического обеспечения  жизни общества и функционирования государства.

Информационная безопасность предполагает не только защиту от информационного  оружия, но и обеспечение конституционных  прав граждан на свободу сбора, распространения  и получения информации (естественно, с определенными ограничениями), на тайну корреспонденции и т.п. Это и многое другое должно быть урегулировано законодательством  о коммерческой, служебной и профессиональной тайне, об информации персонального  характера и др.

Основополагающим  нормативным актом об информационной безопасности является утвержденная Президентом 9 сентября 2000 года Доктрина информационной безопасности Российской Федерации. В  преамбуле отмечается, что доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления  обеспечения информационной безопасности Российской Федерации. Доктрина развивает  и детализирует Концепцию национальной безопасности России применительно  к информационной сфере.

Вышеприведенное определение  информационной безопасности можно  сопоставить с данным в Доктрине. Под информационной безопасностью Рос-сийской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Таким образом, информационная безопасность предполагает определенный баланс интересов личности, общества и государства. Такой баланс возможен только в случае, когда конкретный индивид и общество в целом ограждены от опасного информационного воздействия со стороны государства. Государство, в свою очередь, имеет право

К основным принципам  обеспечения информационной безопасности можно отнести:

- законность;

- соблюдение баланса интересов личности, общества, государства и их взаимная ответственность за обеспечение безопасности информации;

- взаимосвязь национальной и международной информационной безопасности;

- системность;

- обоснованность;

- комплексность;

- достаточность;

- своевременность;

- экономическая эффективность.

Законность реализуется  разработкой и внедрением совокупности организационных решений, законов, нормативов и правил, регламентирующих информационные отношения в обществе и общую направленность работ  по обеспечению информационной безопасности. Юридическую базу обеспечения информационной безопасности составляет система нормативных  и правовых документов, к которым  относятся:

- законодательные акты, регламентирующие информационную безопас-ность;

- нормативные акты, регламентирующие меры материальной и уголовной ответственности за нарушение требований обеспечения информационной безопасности;

- решения, относящиеся к технико-математическим аспектам защиты ин-формации;

- процессуальные нормы и правила практической реализации законов и других нормативных правовых актов в области информационной безопасности.

Соблюдение баланса  интересов личности, общества и государства  основывается на оценках нанесенного  ущерба в случае скрытия (засекречивания) информации или несанкционированного ее распространения. Соблюдение этого  баланса обеспечивается выбранной  стратегией и научно-обоснованной методикой  защиты.

Взаимная ответственность  личности, общества и государства  за со-хранность информации предусматривает ограничение прав собственности предприятий, организаций и граждан на информацию в связи с ее засекречиванием и компенсацию ущерба, наносимого собственнику информации. Реализуется четким выполнением нормативно-технических требований, прав и обязанностей по защите информации и контролем их выполнения.