2020-09-24
248
Для определения и трактовки понятия «информационная безопасность» (как, впрочем, и других видов безопасности), могут применяться два подхода: содержательный и функциональный. Оба этих подхода уже были применены в рассмотренных выше материалах лекций.
Исходя из содержательного подхода, под информационной безопасностью понимается состояние информационной среды, при котором отсутствуют или предотвращаются посредством специальных механизмов угрозы информационной сфере человека, общества, хозяйствующего субъекта и государства, включая угрозы в отношении информационных ресурсов, а также механизмов обработки и передачи информации (то есть используемых информационных технологий).
При функциональном подходе информационная безопасность отождествляется со специальными механизмами предотвращения угроз, а точнее – с системой обеспечения информационной безопасности. Эта система представляет собой блок (подсистему) в составе информационно-технологической инфраструктуры (информационной системы) защищаемого объекта, который контролирует опасности и угрозы, предотвращает или минимизирует риски, возникающие в результате уничтожения, изменения и передачи (как санкционированной, так и несанкционированной) третьим лицам информации, обеспечивающей процесс принятия решений при осуществлении хозяйственной и иной деятельности, а также при выводе из строя механизмов обработки и передачи информации. Система обеспечения информационной безопасности представляет собой совокупность взаимодействующих объектов, субъектов и специальных механизмов информационной безопасности.
|
|
|
В соответствии со «Стратегией национальной безопасности Российской Федерации», «Стратегией экономической безопасности Российской Федерации на период до 2030 года» и «Доктриной информационной безопасности Российской Федерации» (утверждены указами Президента РФ) организационную структуру системы, обеспечивающую информационную безопасности РФ в целом можно представить на рис. 1.1 (далее для обозначения понятия «информационная безопасность» будет также использоваться аббревиатура ИБ).
Рис. 1.1. Структура государственных органов обеспечения информационной безопасности
в Российской Федерации
Основными элементами организационной основы государственной системы обеспечения ИБ РФ являются: Президент РФ, Совет безопасности РФ, Совет Федерации Федерального Собрания РФ, Государственная Дума Федерального Собрания РФ, Правительство РФ, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом РФ и Правительством РФ, органы исполнительной власти субъектов РФ, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством РФ участие в решении задач обеспечения ИБ РФ.
|
|
|
Президент РФ руководит в пределах своих конституционных полномочий органами и силами по обеспечению ИБ РФ, санкционирует действия по обеспечению ИБ РФ; в соответствии с законодательством РФ формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению ИБ РФ; определяет в своих ежегодных посланиях Федеральному Собранию РФ приоритетные направления государственной политики в области обеспечения ИБ РФ, а также меры по реализации Доктрины ИБ РФ.
Совет безопасности РФ является конституционным совещательным органом, непосредственно занимающимся вопросами государственной безопасности. Совет безопасности РФ проводит работу по выявлению и оценке угроз ИБ РФ, оперативно подготавливает проекты решений Президента РФ по предотвращению таких угроз, разрабатывает предложения в области обеспечения ИБ РФ, а также предложения по уточнению отдельных положений Доктрины, координирует деятельность органов и сил по обеспечению ИБ РФ, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ решений Президента РФ в этой области. В его состав входит Межведомственная комиссия по ИБ, которая готовит указы Президента РФ, выступает с законодательной инициативой в области ИБ государства.
Правительство РФ в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента РФ Федеральному Собранию РФ приоритетных направлений в области обеспечения ИБ РФ координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области. Федеральные министерства и ведомства могут в своем составе создавать соответствующие службы и подразделения для решения вопросов обеспечения ИБ на отраслевом уровне.
Межведомственные и государственные комиссии, создаваемые Президентом РФ и Правительством РФ, решают в соответствии с предоставленными им полномочиями задачи обеспечения ИБ РФ. На Межведомственную комиссию по защите государственной тайны возложена задача координации действий государственных структур по вопросам защиты информации.
Рабочим органом Межведомственной комиссии по защите государственной тайны является Федеральная служба по техническому и экспортному контролю – ФСТЭК (в недавнем прошлом эта структура называлась Государственной технической комиссией при Президенте РФ), которая:
— разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации;
— осуществляет подготовку проектов законов, разрабатывает нормативные документы по ИБ;
— контролирует эффективность защиты информации в ключевых системах информационно-технологической инфраструктуры, в информационных системах и объектах, на которых выполняются работы, связанные со сведениями, составляющими государственную и (или) служебную тайну;
— проводит лицензирование деятельности по осуществлению мероприятий и оказанию услуг в области технической защиты государственной тайны, по разработке и производству средств защиты информации;
— организует проведение работ по сертификации средств технической защиты информации, безопасности информационных технологий;
|
|
|
— организует разработку и согласование федеральных целевых программ обеспечения безопасности информации, технической защиты информации, защиты государственной тайны;
— организует разработку программ стандартизации, технических регламентов и национальных стандартов в области ИБ;
— организует проведение межведомственных экспертиз реального уровня безопасности информации;
— выполняет функцию федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры РФ, в том числе обеспечивает категорирование объектов и ведение реестра значимых объектов.
Федеральная служба безопасности (ФСБ) РФ является федеральным органом исполнительной власти, осуществляющим государственное управление в области обеспечения безопасности РФ, борьбе с терроризмом, защиты и охраны Государственной границы, обеспечивающим информационную безопасность РФ и другие функции, определенные законодательством РФ. При ФСБ действует Институт криптографии, связи и информатики (ИКСИ).
Основными задачами ФСБ с точки зрения защиты информации являются:
— обеспечение защиты сведений, составляющих государственную тайну;
— противодействие иностранным техническим разведкам;
— организация обеспечения криптографической и инженерно– технической безопасности инфотелекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи;
— разработка и производство шифров и ключевых документов к шифровальным средствам;
— разработка и реализация мер по защите сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах власти субъектов РФ, воинских формированиях и организациях;
— осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну;
— разработка и утверждение нормативных и методических документов по вопросам обеспечения ИБ инфотелекоммуникационных систем;
— сертификация средств квалифицированной электронной подписи и средств обработки информации, содержащей государственную тайну;
|
|
|
— выполняет функцию федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
— организует работу Национального координационного центра по компьютерным инцидентам (НКЦКИ), который является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Федеральная служба охраны (ФСО) РФ является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики, нормативно-правовому регулированию, контролю и надзору в сфере государственной тайны, президентской, правительственной и иных видов специальной связи и информации, предоставляемых федеральным органам государственной власти, органам государственной власти субъектов РФ и другим государственным органам.
Основными задачами ФСО с точки зрения защиты информации являются:
— разработка и реализация единой технической политики в области оснащения Администрации Президента РФ, Аппарата Правительства РФ и палат Федерального Собрания РФ средствами открытой и специальной связи, вычислительной техникой, аудио– и видеоаппаратурой, программными продуктами;
— обеспечение функционирования государственного сегмента Интернета;
— организация и обеспечение эксплуатации, безопасности, совершенствования специальной связи и информации, предоставляемых государственным органам, обеспечение защиты категорированных помещений, проведение специальных исследований и проверок технических средств связи и дополнительного оборудования;
— участие в разработке и реализации мер по обеспечению ИБ РФ, противодействию техническим разведкам и защите сведений, составляющих государственную тайну;
— разработка, создание и развитие средств защиты информации, специальных технических средств, а также разработка нормативно-технической документации по вопросам защиты информации в системах специальной связи;
— осуществление функций удостоверяющего центра в информационных системах федеральных органов государственной власти, ведение реестра сертификатов ключей для цифровых подписей уполномоченных лиц этих органов и др.
Служба внешней разведки (СВР) РФ является составной частью сил обеспечения безопасности и защиты безопасности личности, общества и государства от внешних угроз.
Основными задачами СВР с точки зрения защиты информации являются:
— допуск предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом);
— участие в проведении работ, связанных с созданием средств ЗИ;
— осуществление мероприятий и оказание услуг в области защиты государственной тайны;
— участие в лицензионной деятельности в области ЗИ и др.
Палаты Федерального Собрания РФ на основе Конституции РФ по представлению Президента РФ и Правительства РФ формируют законодательную базу в области обеспечения ИБ РФ. Совет Федерации имеет Комитет по обороне и безопасности. В составе Государственной Думы имеется Комитет по безопасности.
Следующим уровнем в системе обеспечения ИБ являются органы исполнительной власти субъектов РФ, органы местного самоуправления, которые могут также создавать различные комиссии. Органы исполнительной власти субъектов РФ взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства РФ, решений Президента РФ и Правительства РФ в области обеспечения ИБ РФ, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения ИБ РФ; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения ИБ РФ.
Контролирующими и правоохранительными органами федерального уровня, обеспечивающими соблюдение нормативно-правовых актов, являются: Конституционный Суд РФ, Верховный Суд РФ, Генеральная прокуратура РФ.
Нижним уровнем организационной структуры системы обеспечения ИБ являются структурные подразделения и должностные лица предприятий и организаций. В качестве таких структурных подразделений могут выступать:
– служба экономической безопасности (или безопасности), в состав которой может входить отдел информационной безопасности;
– отдел информационной безопасности в составе IT подразделения предприятия;
– служба работы с информацией, составляющей государственную тайну;
– архивная служба предприятия и другие подразделения.
Еще раз подчеркнем, что система обеспечения информационной безопасности включает не только некоторую организационную структуру, но также методы и средства обеспечения информационной безопасности (см. ниже).
Управляющий блок в составе системы обеспечения информационной безопасности получил название «Система управления информационной безопасностью» – СУИБ (синоним – «Система менеджмента информационной безопасности» – СМИБ). В свою очередь, СМИБ разделяется на несколько блоков в соответствии с управляемыми процессами ИБ. Важнейшим из них является «Управление рисками ИБ».
В зависимости от субъекта выделяют два вида информационной безопасности: информационно-психологическую и информационно-ресурсную. Информационно-психологическая безопасность направлена на обеспечение интересов отдельного гражданина, групп, населения страны, включая поддержание их психического здоровья, посредством исключения негативного информационно-психологического воздействия и т.д.
Информационно-ресурсная безопасность направлена на защиту экономических интересов хозяйствующих субъектов и национальных интересов государства, обеспечиваемых органами государственной власти, посредством предупреждения угроз контроля, уничтожения, искажения информации, вывода из строя систем обработки информации.
В настоящей дисциплине основное внимание уделяется информационно-ресурсной безопасности предприятий и организаций.
Основной целью функционирования системы обеспечения информационной безопасности хозяйствующего субъекта является предупреждение и нивелирование внутренних и внешних угроз безопасности информации и сохранение, таким образом, ее свойств. Основными, наиболее значимыми для принятия решений свойствами информации являются целостность, доступность, конфиденциальность, достоверность.
Целостность – свойство информации, отражающее ее устойчивость к случайному или преднамеренному изменению или разрушению. Целостность информации имеет особое значение, если на основании данной информации принимаются решения, совершаются действия. Набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может привести к тяжелым последствиям.
Доступность – свойство информации, отражающее возможность беспрепятственного, оперативного и своевременного доступа к ней правомочных пользователей. Недоступность информации может стать причиной ошибок в процессе принятия решений: совершения лишней операции, несовершения нужной операции, совершения не той операции. Отсутствие доступности информации о наличии запасов определенного вида материального ресурса может привести к ненужному ее заказу (ошибочное действие) или, наоборот, незаказу, заказу не того вида материальных ресурсов.
Конфиденциальность – свойство информации быть известной только имеющим на это право субъектам системы (пользователям, программам, процессам). В ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» к раскрытию понятия конфиденциальности информации применяется функциональный подход: конфиденциальность не допускает передачу информации лицом, получившим доступ к ней, третьим ‚ лицам без согласия ее обладателя.
В экономическом словаре достоверность информации определена как степень ее надежности, «в идеальном случае обозначающая отсутствие ошибок и отклонений». Однако идеальное состояние в реальной жизни никогда не достигается, поэтому Совет по Международным стандартам финансовой отчетности в Концептуальных основах финансовой отчетности отметил признание информации правдивой только при соответствии ее требованиям полноты, нейтральности и отсутствия существенных ошибок. При этом существенными признаются ошибки, при которых пользователь информации перестает быть способным принимать правильные решения, основанные на данной информации.
Множество задач, позволяющих достичь цель системы обеспечения информационной безопасности экономического субъекта с учетом ее особенностей, включает:
· прогнозирование потенциальных угроз информационному ресурсу хозяйствующего субъекта и оценку рисков экономической безопасности, обусловленных этими угрозами;
· организацию деятельности по предупреждению потенциальных угроз информационному ресурсу и нивелированию рисков экономической безопасности, обусловленных этими угрозами;
· принятие превентивных мер по нейтрализации угроз информационному ресурсу и нивелированию рисков экономической безопасности, обусловленных этими угрозами;
· выявление и анализ реальных угроз информационному ресурсу и оценку рисков экономической безопасности хозяйствующего субъекта, обусловленных этими угрозами;
· организацию деятельности по реагированию на реальные угрозы информационному ресурсу и нивелированию рисков экономической безопасности хозяйствующего субъекта, обусловленных этими угрозами;
· совершенствование системы обеспечения информационной безопасности хозяйствующего субъекта.
Необходимость обеспечения информационной безопасности хозяйствующего субъекта обусловлена высокой степенью вероятности угроз экономическому уровню развития бизнеса и финансовому состоянию хозяйствующего субъекта в результате негативного воздействия на его информационную сферу.
