Доктрина информационной безопасности
В течение первой половины века широко использовался термин "защита информации". В 60-е годы возникло понятие "компьютерной безопасности", в 70-е - "безопасность данных". В настоящее время более полным понятием, связанным с безопасностью в компьютерных системах и информационных технологиях, является понятие "информационная безопасность". (10/25).
Определение понятия "информационная безопасность" дает нам Доктрина информационной безопасности Российской Федерации, под которой понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (2/136).
Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г является основным нормативным актом в данной сфере. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. (2/135).
Доктрина информационной безопасности Российской Федерации служит основой для:
формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.
В настоящее время национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
гарантировать свободу массовой информации и запрет цензуры;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
Для достижения этого требуется:
развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации,
телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
В этих целях необходимо:
повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
Реализация этих направлений национальной политики в области обеспечения информационной безопасности должна способствовать наиболее эффективному развитию информационной сферы в Российской Федерации.
Однако необходимо отметить, что в данном нормативном акте выделены только основные направления в обеспечении информационной безопасности, в данном нормативном акте отсутствует механизм реализации данной политики, поэтому ждать быстрых результатов от такой политики не приходится.
Также важно выделить основные проблемы обеспечения информационной безопасности в РФ.
Актуальность проблемы информационной безопасности возрастает в связи с парадоксальной ситуацией того, что в настоящее время электронные ресурсы в России практически не охраняются и, например, достать более новую информацию в электронном виде легче и дешевле, чем печатную продукцию, меньшую по объему и менее актуальную.
Рынок электронной продукции практически не контролируется и не охраняется. Любая утечка более или менее ценной информации приводит к тому, что эта информация становится достоянием практически неограниченного числа пользователей. (10/25).
Такая ситуация на рынке электронной продукции способствует росту компьютерных преступлений.
Виды компьютерных преступлений чрезвычайно многообразны. Это несанкционированный доступ к информации, хранящейся в компьютере, ввод в программное обеспечение «логических бомб», которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему, разработка и распространение компьютерных вирусов, хищение компьютерной информации и многое другое. (1/174).
В связи с чем необходимо отметить о неразвитости Российского уголовного законодательства. Так Уголовный кодекс РФ от 24.03.96 предусматривает ответственность за совершение преступлений в сфере компьютерной информации всего лишь по трем статьям (272-274). Также важно отметить, что в связи с отсутствием необходимой технической базы у правоохранительных органов, достаточно трудно доказать факт совершения преступлений в сфере компьютерной информации. (9/163).
С технической точки зрения также становится важна проблема реализации защищенности платформы – операционной системы. (11/11).
Основным критерием классификации угроз информационным ресурсам систем является возможность их устранения, поэтому они делятся на устраняемые и неустраняемые.
Под устраняемыми будем понимать угрозы, обнаружение которых дает возможность таким образом воздействовать на них, чтобы полностью устранить данные угрозы как таковые. К устраняемым угрозам относятся ошибки и закладки в технических средствах, прежде всего в программном обеспечении информационных серверов.
К неустраняемым угрозам могут быть отнесены реализованные возможности доступа к информации, которыми без соответствующих санкций может воспользоваться злоумышленник. В отличие от первых данные угрозы невозможно устранить (устранение предполагает запрет доступа к информации), можно лишь пытаться реализовать защиту информации от несанкционированного доступа к ней со стороны злоумышленника. (5/40).
Важной остается проблема несанкционированного доступа к информации. Так выделяют следующие каналы несанкционированного доступа к информации:
1. Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах автоматизированной системы. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях.
2. Акустический (виброакустический) канал. Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации автоматизированной системы.
3. Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации автоматизированной системы без проникновения в помещения, где расположены компоненты системы. В качестве средства несанкционированного доступа к информации в данном случае могут рассматриваться фото-, видеокамеры и т. п.
4. Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам автоматизированной системы, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. (8/25).
Некоторые авторы основной проблемой безопасности информационной сферы выделяют потенциальную уязвимость информационных систем, обусловленной их распределенной топологической структурой, сложностью (как следствие - невозможность контроля всех объектов и операций в системе в каждый момент времени) и большим числом каналов несанкционированного доступа к информации в различных физических полях (побочные электромагнитные излучения и наводки, специально организованные с использованием программно-аппаратных средств каналы несанкционированного доступа к информации и др.). Следствием уязвимости информационной системы являются разработка и применение злоумышленниками специальных способов и средств нарушения нормального функционирования информационной системы в целях установления контроля над преобразуемой в информационной системе информацией. (4/13).
Необходимо также отметить, что система шифрования полностью не решает проблему обеспечения конфиденциальности информации. Однако стоит рассмотреть некоторую последовательность действий злоумышленника:
• некий злоумышленник получает доступ к компьютеру, на котором обрабатывается конфиденциальная информация;
• злоумышленник создает небольшой программный модуль, который отслеживает обращения к ключевой дискете, перехватывает и фиксирует (записывает) где-либо ключевую информацию;
• при следующем своем визите на чужой компьютер злоумышленник, используя полученные ключи, имеет доступ ко всей конфиденциальной информации.
Защита ключевой информации паролем в этом случае не спасает, поскольку пароль можно аналогичным образом перехватить при его вводе.
Отсюда следует, что решение задачи защиты конфиденциальности информации с помощью систем шифрования не является абсолютно надежным. (6/15).
Важно отметить и то, что заявления о доступности всей необходимой зарубежной информации через Интернет не соответствует действительности. Достаточно указать, что только 15 процентов российских исследователей и разработчиков владеют иностранным языком настолько, чтобы работать в Интернете. В большинстве случаев непреодолим экономический барьер. Цены на доступ к специализированным банкам данных, содержащим профессиональную информацию, на заказ поиска информации и особенно на копии документов и публикаций «не по карману» большинству российских ученых и научных организаций. (3/4).