- •Понятие и предмет информационной безопасности.
- •Соотношение понятий безопасность и информационная безопасность.
- •Уровни обеспечения безопасности: личностный, гражданское общество, государственный.
- •Общая структура правового института информационной безопасности. Объекты информационной безопасности: личность, общество, государство, - особенности каждого из объектов. !
- •Основные теории понимания национальных интересов России в информационной сфере.
- •Классификация национальных интересов по срокам их реализации, соотношение интереса и информации. !
- •Разработка и принятие Концепции национальной безопасности и Доктрины информационной безопасности России. !
- •8. Национальными интересами в информационной сфере являются:
- •Понятие источника угрозы национальной безопасности, информационной безопасности и их разновидности.
- •Информационный терроризм.
- •Информационное оружие.
- •Принципы обеспечения информационной безопасности.
- •14. Конституционное закрепление и охрана информационных прав граждан. !
- •15.Право на неприкосновенность частной жизни, личной и семейной тайны.
- •Статья 5.66. Незаконное финансирование деятельности политических партий, не связанной с участием в выборах и референдумах
- •Федеральный закон от 11 августа 1995 г. N 135-фз "о благотворительной деятельности и добровольчестве (волонтерстве)"
- •Статья 20. Ответственность благотворительной организации
- •19. Коммерческая тайна. Понятие и правовое регулирование.
- •22. Служебная тайна. Понятие и правовое регулирование.
- •23. Проблемы правового обеспечения информационной безопасности государства, противодействия информационным войнам и терроризму.
- •24. Понятие государственной тайны.
- •26. Порядок засекречивания и рассекречивания информации, отнесенной к государственной тайне. Предварительное засекречивание.
- •27. Ответственность за нарушение порядка обращения с информацией, составляющей государственную тайну.
- •29. Система государственного лицензирования деятельности в области защиты информации.
- •31. Общий порядок лицензирования в области защиты информации.
- •32. Система сертификации средств защиты информации.
- •33. Государственные стандарты в области защиты информации.
Принципы обеспечения информационной безопасности.
Принципы обеспечения информационной безопасности непосредственно следуют из принципов защиты информации, принципов государственной информационной политики и принципов обеспечения национальной безопасности. Принципы защиты информации можно разделить на: правовые и организационные.
Правовые принципы защиты информации гарантируют соблюдение законности при засекречивании информации и обеспечении ее защиты от неправомерного получения и использования:
• Принцип законности защиты информации
• Принцип приоритета международного права над внутригосударственным
• Принцип равноправия на засекречивание информации
• Принцип собственности на информацию
• Принцип экономической целесообразности.
Организационные принципы защиты информации отражают общие правила и подходы к защите секретов, поэтому они за последние годы претерпели значительно меньше изменений по сравнению с правовыми принципами. Они используются при любой общественно-политической и экономической системе, являясь одинаково эффективными при защите государственной, коммерческой, банковской, профессиональной или иной тайны:
• Принцип системного подхода к организации защиты информации
• Принцип максимального ограничения числа лиц, допускаемых к защищаемой информации Принцип персональной ответственности за сохранность доверенных секретов
• Принцип непрерывности защиты информации.
Однако при осуществлении защиты различных видов информации и информационных процессов используются и СПЕЦИФИЧЕСКИЕ ПРИНЦИПЫ, обусловленные особенностями предмета защиты, а также применяемых в защитных целях сил, средств и методов.
Принципы обеспечения информационной безопасности:
• законность (соблюдение норм международного права, Конституции Российской Федерации и законодательства Российской Федерации при осуществлении деятельности по обеспечению информационной безопасности);
• сбалансированность (соблюдение баланса интересов субъектов, их взаимная ответственность);
• системность;
• открытость;
• реальность выдвигаемых задач (с учетом имеющихся ресурсов, сил и средств); демократический централизм (сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления);
• интеграция (взаимодействие с международными системами обеспечения информационной безопасности).
1.Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.
2.Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. 3.Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.
4.Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать, программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.
5.Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем). 6.Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.
7.Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.
8.Принцип адекватности (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Вряд ли деклассированный пролетарий потратит деньги на металлическую дверь, супер замок и сигнализацию, если в квартире непропитые вещи можно пересчитать по пальцам.
9.Системность. Конечно, важность этого принципа проявляется при построении крупных систем защиты, но и в небольшой фирме не стоит забывать о важности системного подхода. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств.
10.Равностойкость звеньев. Звенья - это элементы защиты, преодоление любого из которых означает преодоление всей защиты (например, окно и дверь в равной степени открывают вору путь в квартиру). Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого
Основные задачи, функции и стандарты обеспечения информационной безопасности.
К основным задачам в сфере обеспечения информационной безопасности относятся:
• формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность;
• совершенствование законодательства Российской Федерации в сфере обеспечения информационной безопасности;
• определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения информационной безопасности;
• координация деятельности органов государственной власти по обеспечению информационной безопасности;
• создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля, за деятельностью органов государственной власти;
• совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
• развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;
• развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
• защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;
• духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
• сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;
• пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
• повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств-участников СНГ;
• создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;
• противодействие угрозе развязывания противоборства в информационной сфере;
• организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
- разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
- создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
- определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
- оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
- координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
- контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
- предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
- развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
- организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
- проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
- защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
- обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
- совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;
- осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
• выработка понятийного аппарата и терминологии в области информационной безопасности
• формирование шкалы измерений уровня информационной безопасности
• согласованная оценка продуктов, обеспечивающих информационную безопасность
• повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
• накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
• функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.