Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Доктрина информационной безопасности РФ.




Доктрина информационной безопасности Российской Федерации была утверждена 9 сентября 2000 года президентом Российской Федерации. В ней под информационной безопасностью понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

 

В Доктрине выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:

 

1. Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

 

2. Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

 

3. Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

 

4. Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

 

Соответственно, по своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

 

1. угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

 

2. угрозы информационному обеспечению государственной политики Российской Федерации;

 

3. угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

 

4. угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

 

В соответствии с Доктриной общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

 

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

 

Основными организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

 

· создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

 

· выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

 

· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

 

· создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

 

· выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

 

· сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

 

· контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

 

· формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

 

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

 

· разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

 

· совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

 

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, -злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

 

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:

  • должно стать известно о средствах использования пробела в защите;
  • должны быть выпущены соответствующие заплаты;
  • заплаты должны быть установлены в защищаемой ИС.

 

Новые уязвимые места и средства их использования появляются постоянно и это значит, что почти всегда существуют окна опасности и отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - оперативно.

 

Угрозы можно классифицировать по нескольким критериям:

 

  • по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
  • по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

 

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

 

Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений. Поэтому доступность выделяется как важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется в различных системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Самыми частыми являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

 

Другие угрозы доступности можно классифицировать по компонентам ИС, на которые нацелены угрозы:

 

  • отказ пользователей;
  • внутренний отказ информационной системы;
  • отказ поддерживающей инфраструктуры.

 

Обычно применительно к пользователям рассматриваются следующие угрозы:

 

  • нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
  • невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
  • невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

 

Основными источниками внутренних отказов являются:

 

  • отступление (случайное или умышленное) от установленных правил эксплуатации;
  • выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
  • ошибки при конфигурировании системы;
  • отказы программного и аппаратного обеспечения;
  • разрушение данных;
  • разрушение или повреждение аппаратуры.

 

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

  • нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
  • разрушение или повреждение помещений;
  • невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

 

Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие, так как потенциально могут нанести вред организации-"обидчику", например:

 

  • испортить оборудование;
  • встроить логическую бомбу, которая со временем разрушит программы и/или данные;
  • удалить данные.

 

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы.

Угрозы доступности могут выглядеть грубо - как повреждение или даже разрушение оборудования. Такое повреждение может вызываться естественными причинами (чаще всего - грозами), опасны протечки водопровода и отопительной системы, поломки кондиционеров в сильную жару. Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранятся небрежно.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно - полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю или, например, количество подключившихся пользователей ограничено ресурсами системы. Примером удаленного потребления ресурсов являются DoS-атаки – атаки на отказ в обслуживании.

 

Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений. Соответствующие действия в сетевой среде называются активным прослушиванием. С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:

 

  • ввести неверные данные;
  • изменить данные.

 

Например, заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль. Последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность. Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой недопустимо. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО - пример подобного нарушения.

 

Конфиденциальность – это защита от несанкционированного доступа к информации.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе. Невозможно помнить много разных паролей; рекомендации по их регулярной смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым и угадываемым паролям.

Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена необходимая защита. В этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п).

Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их не составляет труда.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных.

Опасной нетехнической угрозой конфиденциальности являются такие методы как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К угрозам, от которых трудно защититься, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...