Основные направления обеспечения информационной безопасности

Оценка состояния работ по разработке вирусов

Приведенный выше анализ свидетельствует о широких возможностях по применению компьютерных вирусов для противодействия в информационной сфере, в том числе и в военных целях. Есть основания полагать, что в ряде стран ведутся серьезные изыскательские работы в этом направлении. Так, например, в США в 1990 году Центром по радиоэлектронному противодействию сухопутных войск (US Army Center for Signals Warfare, Warrenton, Virginia) был проведен отбор опытных специалистов по компьютерным вирусам, а также хорошо знающих системы защиты автоматизированных информационных систем и методы их преодоления. Кроме того, Центр организовал конкурс среди компьютерных фирм США на проведение научно-исследовательских работ по изучению возможностей вывода из строя систем управления оружием противника путем внедрения в них диверсионных компьютерных программ (вирусов).

По взглядам экспертов министерства обороны США существует принципиальная возможность внедрения компьютерных вирусов в системы управления противником путем передачи их машинного кода через радиосигналы. Особенно привлекателен такой метод для внедрения диверсионных программ в автоматизированные комплексы обеспечения работы средств ПВО и систем управления боем. При этом также исследуется возможность создания вируса-камикадзе, который бы мог самоуничтожаться после осуществления диверсионного акта. Это позволило бы, во-первых, провести реальные испытания таких диверсионных программ в условиях мирного времени, а во-вторых, исключить попадание в руки противника содержания этих программ.

Наряду с такими экстраординарным методом внедрения прорабатываются и другие, более традиционные направления, и в первую очередь использование для этих целей агентурного проникновения. Учитывая характер и перспективность всех этих работ предпринимаются меры по сохранению в тайне масштабов исследований и их результатов.

 


3. НаправлениЯ, методы и средства обеспеЧениЯ
информационной безопасности

К основным аспектам проблемы обеспечения информационной безопасности относятся [63]:

· защита государственной тайны, т.е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;

· защита прав граждан на владение, распоряжение и управление принадлежащей им информацией;

· защита прав предпринимателей при осуществлении ими коммерческой деятельности;

· защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;

· защита технических и программных средств информатики от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий и иных форс-мажорных обстоятельств с целью сохранения возможности управления процессом обработки.

В настоящее время в проблеме защиты информационного ресурса существует два направления, отличающихся по существу общественных отношений и формой организации. Это защита государственного информационного ресурса и защита информации независимого сектора экономики.

Функционально государственная система защиты информации должна в полной мере обеспечивать решение таких задач, как:

· разработка общей технической политики и концепций обеспечения безопасности информации;

· разработка законодательно-правового обеспечения проблемы, участие в подготовке законодательных актов в смежных областях;

· координация деятельности органов государственного управления по отдельным направлениям защиты информации;

· разработка нормативно-технических и организационно-распорядительных документов;

· сертификация технических и программных средств по требованиям безопасности;

· лицензирование деятельности по оказанию услуг в сфере безопасности информации;

· надзор (контроль);

· подготовка кадров;

· финансирование важнейших научно-исследовательских и опытно-конструкторских работ;

· страхование;

· информационное обеспечение.

Формирование облика системы защиты информации является сложной системной задачей. В разных странах она сильно различается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, ориентация потребителя и, в первую очередь, армии и государственных структур на приобретение отечественных средств вычислительной техники или на закупку их по импорту, общей культуры общества и, наконец, традиций и норм поведения субъектов правоотношений.

 

               
   
ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ
 
 
Законодательно-правовое обеспечение · Разработка законодательства · Надзор со стороны правоохранительных органов · Судебная защита
   
Организационно-техническое обеспечение · Режимное и оперативное обеспечение · Техническое обеспечение · Защита от утечки за счет ПЭМИН · Защита от НСД · Защита от СПМВ · Защита в каналах и сетях связи · Физическая защита · Организационное обеспечение · Сертификация · Лицензирование · Контроль (надзор)  
 
Страховое обеспечение
 
 

 


Рис. 3.1. Основные направления деятельности по защите информации

 

Основными направлениями деятельности по защите информации в организациях являются (рис. 3.1):

1. Законодательно-правовое обеспечение, представляющее собой взаимоувязанный комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов правоотношений, субъектов и объектов защиты, методы, формы и способы защиты и их правовой статус.

Следует особо отметить необходимость законодательно-правового обеспечения таких важных аспектов деятельности системы защиты, как сертификация и лицензирование.

Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты.

2. Организационно-техническое обеспечение, которое представляет собой комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты. Условно эти мероприятия подразделяются на системообразующие и надзорные (контрольные). Особенностью надзорных мероприятий является необходимость создания независимого, внеотраслевого надзора за защитой и уровнем безопасности информации.

3. Страховое обеспечение предназначено для защиты собственника информации или средств информатизации как от традиционных угроз (краж, стихийных бедствий), так и от угроз, возникающих в ходе информатизации общества. К ним относятся утечки информации, хищения, модификации, уничтожение, отказы в обслуживании и др.

Весьма остро стоит вопрос защиты от военного и промышленного шпионажа и страхование риска.

Система защиты информации должна отвечать следующим требованиям:

1. Обеспечивать безопасность информации, средств информатизации, защиту интересов участников информационных отношений. Решение этой задачи достигается комплексной реализацией законодательной, организационно-технической и страховой форм защиты.

2. Система в целом, методы и способы защиты должны быть по возможности “прозрачными” для пользователя, не создавать ему дополнительных неудобств, связанных с процедурами проверки полномочий и контроля доступа к информации.

3. Система должна реализовывать методы как директивного, так и функционального управления.