Информационная безопасность

1. Понятие информационной безопасности

 

  Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

  В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование  и развитие.

Кортеж защиты информации - это последовательность действий для достижения определённой цели.

Информационная безопасность государства— состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме  информационная сфера имеет две  составляющие: информационно-техническую (искусственно созданный человеком  мир техники, технологий и т. п.) и  информационно-психологическую (естественный мир живой природы, включающий и  самого человека). Соответственно, в  общем случае информационную безопасность общества (государства) можно представить  двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Стандартизированные определения (для ДЦТД4-1)

Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность — защита конфиденциальности, целостности  и доступности информации.

Конфиденциальность: свойство информационных ресурсов, в том числе  информации, связанное с тем, что  они не станут доступными и не будут  раскрыты для неуполномоченных лиц.

Целостность: неизменность информации в процессе ее передачи или хранения.

    Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

 

Безопасность информации (данных) определяется отсутствием  недопустимого риска, связанного с  утечкой информации по техническим  каналам, несанкционированными и непреднамеренными  воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние  защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность  и подлинность её ресурсов.

Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или  преднамеренных воздействий естественного  или искусственного характера, которые  могут нанести неприемлемый ущерб  субъектам информационных отношений. Поддерживающая инфраструктура — системы  электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

Существенные признаки понятия 

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;
• целостность (англ. integrity) — избежание несанкционированной модификации информации;
• доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ. non-repudiation
• подотчётность (англ. accountability)— обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

 

Рекомендации  по использованию терминов

В Государственном стандарте  РФ приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для  выражения уверенности и гарантий риска.

Не следует употреблять  слова «безопасность» и «безопасный» в качестве описательного прилагательного  предмета, так как они не передают никакой полезной информации. Рекомендуется  всюду, где возможно, эти слова  заменять признаками предмета, например:

«защитный шлем» вместо «безопасный шлем»;  «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная  безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия  «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность  объекта» (или «для сохранения целостности  данных») вместо аргумента «исходя  из требований информационной безопасности».

Объём (реализация) понятия  «информационная безопасность» 

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Основные задачи информационной безопасности

 

Задачи информационной безопасности (да и безопасности любого другого  рода) сводятся, как правило, к минимизации  ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Соответственно, составляющими  информационной безопасности являются:

• определение объектов, на которые могут быть направлены угрозы;
• выявление существующих и возможных угроз;
• определение возможных источников угрозы;
• оценка рисков;
• методы и средства обнаружения враждебного воздействия;
• методы и средства защиты от известных угроз;
• методы и средства реагирования при инцидентах.

Вкратце все это можно  сформулировать в трех предложениях. Основными задачами информационной безопасности являются:

• Выявление и недопущение нарушений, а также условий для их реализации.
• Создание механизма оперативного мониторинга и реагирования на нарушения.
• Создание условий для максимально возможного возмещения ущерба от нарушений.

 

Все эти три задачи реализуются  за счет неких организационных мероприятий  и программных продуктов.

 

 

3. Государственная политика в сфере информационной безопасности России

 

Согласно разработанному Советом Безопасности России проекту  «Основ государственной политики в  области обеспечения информационно-психологической  безопасности Российской Федерации», государственная политика в области  обеспечения информационно-психологической  безопасности Российской Федерации (далее  – государственная информационная политика) представляет собой деятельность федеральных органов государственной  власти по достижению национальных интересов  Российской Федерации в информационно-психологической  сфере.

Целью государственной политики в области обеспечения информационно-психологической  безопасности Российской Федерации  является противодействие угрозам  безопасности личности, общества и  государства и достижение национальных интересов Российской Федерации  в информационно-психологической  сфере.

Концепция государственной  политики в области обеспечения  информационно-психологической безопасности Российской Федерации  включает в  себя цели, задачи, принципы и основные направления деятельности государства  по противодействию угрозам психическому здоровью, системе ценностей и  свободе воли человека и общества, возникающим вследствие воздействия  на них информации, а также –  по обеспечению безопасности социальных информационных систем, информационных ресурсов и процессов циркуляции информации в информационно-психологической  сфере, обеспечивающих нормальное функционирование и жизнедеятельность государства, общества и граждан.

Правовую базу государственной  информационной политики составляют Конституция  Российской Федерации, Устав Всемирной  организации здравоохранения, Европейская  конвенция о защите основных прав человека, федеральное законодательство, другие нормативные правовые акты, регулирующие отношения в области обеспечения безопасности Российской Федерации.

Концепция государственной  информационной политики развивает  и конкретизирует положения Концепции  национальной безопасности Российской Федерации, Доктрины информационной безопасности Российской Федерации применительно  к защите национальных интересов  Российской Федерации в информационной сфере от угроз, связанных с воздействием информации на психическую деятельность человека.

Система государственной  информационной политики представлена  в Приложении 1. Приоритетными направлениями  деятельности по реализации государственной  информационной политики являются:

• совершенствование отечественного законодательства, регулирующего отношения в информационной сфере, и системы международных договоренностей по вопросам противодействия угрозам безопасности информационного общества (создание системы нормативного правового обеспечения информационной/информационно-психологической безопасности Российской Федерации);
• совершенствование системы организации правоохранительной и судебной деятельности в области обеспечения безопасности законных интересов граждан, общества и государства в информационной сфере как в России, так и на международном уровне;
• совершенствование технологического обеспечения безопасности информационной инфраструктуры, средств защиты информации, проведения оперативно-следственных мероприятий, включая нормативное обеспечение процессов их создания, распространения и использования;
• совершенствование системы подготовки кадров для реализации функций обеспечения безопасности информационной сферы общества;
• создание системы культурно-образовательного обеспечения безопасности информационной сферы.

Государственная политика в  области обеспечения информационно-психологической  безопасности Российской Федерации  основывается на:

• принципе законности, который предполагает соблюдение при осуществлении деятельности по обеспечению информационно-психологической безопасности Российской Федерации Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права, международных договоров Российской Федерации.
• принципе баланса интересов личности, общества и государства, который предусматривает установление и соблюдение приоритетов этих интересов при регулировании общественных отношений в информационной сфере. При определении баланса интересов личности, общества и государства необходимо исходить из того, что Российская Федерация – социальное государство, политика которого направлена на создание условий, обеспечивающих достойную жизнь и свободное развитие человека, реализует гарантии соблюдения прав и свобод человека и гражданина, организует противодействие угрозам национальной безопасности Российской Федерации с привлечением общественных организаций и отдельных граждан.
• принципе открытости, который предполагает в процессе реализации федеральными органами государственной власти и общественными организациями деятельности по обеспечению информационно-психологической безопасности Российской Федерации информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации.
• принцип приоритетности национальных интересов Российской Федерации, который заключается в использовании этих интересов в качестве основы при формировании государственной политики в рассматриваемой области, отстаивании этих интересов с использованием имеющихся у государства возможностей и учетом общепринятой международной практики.