Файл: Выработка политики безопасности.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 18.06.2023

Просмотров: 50

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

ВВЕДЕНИЕ

Информационная безопасность играет огромную роль в сфере высоких технологий, где информация становится одновременно «продуктом и сырьём». Огромная IT структура построена на огромных базах данных из всех точек планеты. Информацию производят, обрабатывают, продают, покупают, а так же воруют.

Если говорится об информационной безопасности, то имеют в виду безопасность компьютерную. Информация, находящаяся на электронных носителях играет большую роль в жизни современного общества. Уязвимость такой информации объясняется рядом факторов: огромные объемы, возможная анонимность доступа, возможность диверсий в сфере информации. Все эти факторы делают задачу обеспечения защиты информации, находящейся в компьютерной среде, сложной проблемой. Сложнее, чем сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, хранящейся на бумажных носителях, фотографиях и т.п., то ее сохранность достигается мерами физической защиты, т.е. защиты от несанкционированного доступа в зону хранения информации. Другие опасности защиты такого рода информации связаны со стихийными бедствиями и техногенными катастрофами. Отсюда следует, что "компьютерная" информационная безопасность является более широкой сферой по сравнению с информационной безопасностью "традиционных" носителей.

До настоящего времени проблема обеспечения безопасности компьютерной информации в нашей стране не выдвигалась на первый план, но и фактически полностью игнорировалась. Считалось, что путем тотальной секретности, многочисленными ограничениями в сфере передачи и распространения информации, можно было решить проблему обеспечения безопасности информации.

Исходя из этого, широкое развитие получили угрозы информационной безопасности, такие как хищение баз данных, применение информационного воздействия на различные информационные системы, возрос ущерб, наносимый с целью наживы.

Существуют многие правовые меры обеспечения информационной безопасности. К этим мерам относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

Глава 1. Выработка политики безопасности

    1. История Государственной политики информационной безопасности


При объединении и синхронизации сетей встал вопрос защиты «от шпионов» секретной государственной информации, особенно учитывая, то насколько легко и быстро можно скопировать информацию в цифровом виде.

В 1967 году была учреждена Инициативная Группа исследователей по вопросам компьютерной безопасности, в которую вошли представители университетов, компаний по производству компьютеров, научно-исследовательских центров и прочих организаций.

В результате объединения усилий промышленных и научных организаций, множества исследований в области математики в сфере теории информации, и огромного опыта в реальной индустрии, был создан ряд стандартов и требований предъявляемых к оборудованию, программному обеспечению и персоналу так систем автоматической обработки данных, т.е. компьютерных сетей, принадлежавших таким гос. структурам США как : NASA, Министерство Обороны, Министерство по контролю за вооружением, Федеральная резервная система и Центр Объединенного Командования ВС.

В 1981 году был создан подобный центр при Министерстве Обороны, разработавший и внедривший стандарты, требования к оборудованию и программному обеспечению, которые вступили в силу в 1985 году. Наиболее значимые для истории, поскольку, в силу своей общности и направленности, не только на сугубо внутренние цели, но и на некую оценку качества коммерческих продуктов обрабатывающих и хранящих конфиденциальную информацию, стал стандарт «Критерии оценки доверенных компьютерных систем», названный «Оранжевой книгой» из-за цвета обложки. Главной целью были максимальная гибкость и универсальность оценки безопасности.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

К национальным интересам Российской Федерации относятся:

· Информационное обслуживание руководства

· Сохранность инфраструктуры

· Развитие информационных средств

· Защита прав человека в информационной сфере

· Защита прав на частную информацию

· Защита баз данных

· Достоверность передаваемой информации

Исходя из национальных интересов Российской Федерации, в информационной сфере создаются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению безопасности в сере информации.


Государственная политика обеспечения информационной безопасности Российской Федерации определяет направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой сфере, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика Российской Федерации в области информационной безопасности основывается на следующих компонентах:

· Федеральная программа ИБ

· Нормативно-правовая база

· Регламентация доступа к информации

· Юридическая ответственность за сохранность информации

· Контроль за разработкой и использованием средств защиты информации

· Предоставление гражданам доступа к мировым информационным системам

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

· проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;

· организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;

· поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

· осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

· проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

· способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

· формулирует и реализует государственную информационную политику России;


· организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;

· способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Политика государства заключается в том, чтобы защитить информацию, определяющуюся совокупностью сбалансированных интересов личности, общества и государства.

    1. Проблемы и угрозы информационной безопасности

Внедрение информационных технологий в жизнь общества привело к появлению проблем информационной безопасности:

- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем, обеспечивающих безопасность людей и экологической обстановки;

- необходимо обеспечить защиту прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права, в том числе и защиту секретов и интеллектуальной собственности;

- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством, право на доступ к информации.

Любая информационная система потенциально уязвима ( Приложение А). Эта уязвимость, по отношению к случайным и предумышленным негативным воздействиям вытолкнула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях .

Работа по снижению дестабилизирующих факторов в области информационной безопасности заключается в том, что бы раскрыть суть проблемы, конкретизировать опасные факторы и представить методы, способные значительно повысить защищенность ИС. Для достижения поставленной цели нужно проанализировать исходные данные и факторы, которые определяют технологическую безопасность сложных информационных систем:

- показатели, которые характеризуют технологическую безопасность информационных систем;

- ресурсы, нужные для обеспечения технологической безопасности ИС;

- внутренние и внешние опасные факторы, способные влиять на безопасность функционирования программных средств и баз данных;


- методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;

- быстродействующие методы и средства повышения технологической безопасности функционирования БД с помощью введения в ИС временной программной и информационной избыточности;

- методы и средства определения реальной технологической безопасности функционирования критических ИС.

Неприятной стороной информационной безопасности является то, что любую систему возможно взломать.

Угроза безопасности информации – это совокупность условий, факторов, которые создают потенциальную или реально существующую опасность, утечки информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

По способам воздействия на объекты информационной безопасности, угрозы делятся на: информационные, программные ( Приложение Б), физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

· несанкционированный доступ к информации;

· незаконное копирование данных;

· хищение информации из библиотек, архивов, банков и баз данных;

· нарушение технологии обработки информации;

· противозаконный сбор и последующее использование информации.

К программным угрозам относятся:

· использование ошибок в ПО;

· вирусы и вредоносные программы;

· установка "закладных" устройств.

К физическим угрозам относятся:

· уничтожение средств обработки информации;

· хищение носителей информации;

· хищение программных или аппаратных ключей и средств криптографической защиты;

· воздействие на персонал.

К радиоэлектронным угрозам относятся:

· внедрение электронных устройств перехвата в технические средства и помещения;

· перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

· закупки несовершенных или устаревших информационных технологий;

· нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений.

Угрозами национальной безопасности Российской Федерации в информационной сфере являются:

· стремление сторонних стран к доминированию в мировом информационном пространстве, вытеснению Российской Федерации с внешнего и внутреннего информационного рынка;

· разработка сторонними государствами концепции информационной войны, предусматривающей создание средств опасного воздействия на информационные сферы других стран; нарушение функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.