Проблемы информационной безопасности. Защита информации

-- “троянские кони” - программы,  которые имеют вид полезного  приложения, а на деле выполняют вредные функции (разрушение программного обеспечения, копирование и пересылка злоумышленнику файлов с конфиденциальной информацией и т.п.).

Кроме указанных выше угроз безопасности, существует также угроза утечки информации, которая с каждым годом становится все более значимой проблемой безопасности. Чтобы эффективно справляться с утечками, необходимо знать каким образом они происходят.

На четыре основных типа утечек приходится подавляющее большинство (84%) инцидентов, причем половина этой доли (40%) приходится на самую популярную угрозу - кражу носителей. 15% составляет инсайд. К данной категории относятся инциденты, причиной которых стали действия сотрудников, имевших легальный доступ к информации. Например, сотрудник не имел права доступа к сведениям, но сумел обойти системы безопасности. Или инсайдер имел доступ к информации и вынес ее за пределы организации. На хакерскую атаку также приходится 15% угроз. В эту обширную группу инцидентов попадают все утечки, которые произошли вследствие внешнего вторжения. Не слишком высокая доля хакерских вторжений объясняется тем, что сами вторжения стали незаметнее. 14% составила веб-утечка. В данную категорию попадают все утечки, связанные с публикацией конфиденциальных сведений в общедоступных местах, например, в Глобальных сетях. 9% - это бумажная утечка. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях. 7% составляют другие возможные угрозы. В данную категорию попадают инциденты, точную причину которых установить не удалось, а также утечки, о которых стало известно постфактум, после использования персональных сведений в незаконных целях.

Кроме того, в настоящее время  активно развивается фишинг - технология Интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, номера кредитных карт, банковских счетов и другой персональной информации. Фишинг (от анг. Fishing - рыбалка) расшифровывается как выуживание пароля и использует не технические недостатки КС, а легковерность пользователей Интернета. Злоумышленник закидывает в Интернет приманку и “вылавливает всех рыбок” - пользователей, которые на это клюнут.

Не зависимо от специфики  конкретных видов угроз, информационная безопасность должна сохранять целостность, конфиденциальность, доступность. Угрозы нарушения целостности, конфиденциальности и доступности являются первичными. Нарушение целостности включает в себя любое умышленное изменение информации, хранящейся в компьютерной системе или передаваемой из одной системы в другую. Нарушение конфиденциальности может привести к ситуации, когда информация становится известной тому, кто не располагает полномочия доступа к ней. Угроза недоступности информации возникает всякий раз, когда в результате преднамеренных действий других пользователей или злоумышленников блокируется доступ к некоторому ресурсу компьютерной системы .

Еще одним видом угроз  информационной безопасности является угроза раскрытия параметров компьютерной системы. В результате ее реализации не причиняется какой-либо ущерб  обрабатываемой в компьютерной системе  информации, но при этом существенно  усиливаются возможности проявления первичных угроз.

В соответствии с Концепцией национальной безопасности основными  факторами создающими угрозу безопасности Республики Беларусь в информационной сфере являются:

1.  Распространение  недостоверной или умышленно  искаженной информации, направленное на разрушение общественного согласия, духовных и нравственных ценностей общества, а также возбуждение национальной и религиозной вражды, социальной розни.

2.  Зависимость информационной  инфраструктуры Беларуси от импорта  зарубежных информационных технологий, средств и систем информатизации, связи и программного обеспечения.

3.  Недостаточная обеспеченность  квалифицированными кадрами в  области информационных технологий  и защиты информации. Выезд на  постоянное место жительства  за рубеж высококвалифицированных специалистов и правообладателей интеллектуальной собственности.

4.  Несоответствие  информационного обеспечения государственных  и общественных институтов современным  требованиям управления экономическими, политическими и социальными процессами.

5.  Недостаточное развитие  государственной системы лицензирования, сертификации продуктов и систем  информационных технологий и  аттестации объектов информатизации  в соответствии с требованиями  информационной безопасности. Использование  при создании и модернизации национальной инфраструктуры несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации и связи.

6.  Рост числа преступлений, совершаемых с использованием  информационных технологий. Несанкционированная разработка и распространение программ, нарушающих функционирование информационных систем и сетей связи.

7.  Отсутствие в  республике эффективной системы  обеспечения сохранности открытой  информации, в том числе представляющей интеллектуальную собственность.

Понятия защита информации, безопасность информации, информационная безопасность являются базовыми, поскольку  их сущность определяет в конечном итоге политику и деятельность в  сфере защиты информации. В то же время эти понятия взаимосвязаны и взаимообусловлены. Между тем и в нормативных документах, и в научной литературе нет единых подходов к определению данных понятий, а, следовательно, и к раскрытию их сущности, ибо определения должны в концентрированном виде выражать сущность понятий. В первую очередь это относится к понятию защита информации, где разброс мнений наиболее значителен. При этом различия касаются как содержательной части понятия, так и способа ее реализации.

По содержательной части  защита информации рассматривается как: предупреждение несанкционированного доступа к информации; создание условий, ограничивающих распространение информации; ограждение права собственника на владение и распоряжение информацией; предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее; сохранение полноты, надежности, целостности, достоверности, конфиденциальности информации и т.д.

Способом реализации содержательной части понятия одни авторы называют совокупность мероприятий, методов и средств, другие -деятельность, у третьих он вообще отсутствует.

Методологической основой  для раскрытия сущности и определения  понятия защиты информации должно быть определение понятия защита в целом, безотносительно к предмету защиты.

В толковых словарях термин защита интерпретируется двояко: как  процесс охраны, сбережения, спасения от кого, чего-нибудь неприятного, враждебного, опасного и как совокупность методов, средств и мер, принимаемых для предотвращения, предупреждения чего-то. Таким образом, содержательная часть в этих определениях по смыслу совпадает - это предотвращение, предупреждение чего-то опасного, враждебного. Если соотнести это положение с защитой информации, то самым опасным для собственника информации является нарушение установленного статуса информации, и поэтому содержательной частью защиты должно быть , предотвращение такого нарушения.

 

Нарушение статуса любой  информации заключается в нарушении ее физической сохранности вообще либо у данного собственника (в полном или частичном объеме), структурной целостности, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации, в том числе составляющей государственную тайну, дополнительно включает в себя нарушение ее конфиденциальности (закры-тости для посторонних лиц).

Согласно Закону Республики Беларусь «Об информации, информатизации и защите информации» от  10.11.2008 г. N 455-З

Статья 27. Цели защиты информации

Целями защиты информации являются:

обеспечение национальной безопасности, суверенитета Республики Беларусь;

сохранение информации о частной жизни физических лиц  и неразглашение персональных данных, содержащихся в информационных системах;

обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологий, а также формировании и использовании информационных ресурсов;

недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий.

Статья 28. Основные требования по защите информации

Защите подлежит информация, неправомерные действия в отношении которой могут причинить вред ее обладателю, пользователю или иному лицу.

Требования по защите общедоступной информации могут  устанавливаться только в целях  недопущения ее уничтожения, модификации (изменения), блокирования правомерного доступа к ней.

Требования по защите информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение  и (или) предоставление которой ограничено, определяются законодательством Республики Беларусь.

Информация, распространение  и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в  информационных системах с применением  системы защиты информации, аттестованной в порядке, установленном Советом Министров Республики Беларусь.

Не допускается эксплуатация государственных информационных систем без реализации мер по защите информации.

Обеспечение целостности  и сохранности информации, содержащейся в государственных информационных системах, осуществляется путем установления и соблюдения единых требований по защите информации от неправомерного доступа, уничтожения, модификации (изменения) и блокирования правомерного доступа к ней, в том числе при осуществлении доступа к информационным сетям.

Для создания системы  защиты информации используются средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется Советом Министров Республики Беларусь.

Физические и юридические  лица, занимающиеся созданием средств  защиты информации и реализацией  мер по защите информации, осуществляют свою деятельность в этой области на основании специальных разрешений (лицензий), выдаваемых государственными органами, уполномоченными Президентом Республики Беларусь, в соответствии с законодательством Республики Беларусь о лицензировании.

Статья 30. Организация  защиты информации

Защита информации организуется:

в отношении общедоступной  информации - лицом, осуществляющим распространение  и (или) предоставление такой информации;

в отношении информации, распространение и (или) предоставление которой ограничено, - собственником или оператором информационной системы, содержащей такую информацию, либо обладателем информации, если такая информация не содержится в информационных системах;

 

иными лицами в случаях, определенных настоящим Законом и иными законодательными актами Республики Беларусь.

Жизненно важные интересы Республики Беларусь в информационной сфере( Концепция национальной безопасности Республики Беларусь):

6.1.1. Обеспечение информационных  потребностей личности, общества и государства во всех сферах их жизнедеятельности.

6.1.2. Обеспечение прав  граждан на тайну корреспонденции,  телефонных и иных сообщений.

6.1.3. Эффективное использование  национальных информационных ресурсов, создание условий по поддержанию  сохранности и систематическому их пополнению.

6.1.4. Защита сведений, составляющих государственную, служебную,  коммерческую и иную охраняемую  законодательством тайну.

6.1.5. Развитие современных  информационных технологий, национальной  индустрии средств информатизации и связи, расширение участия республики в международной кооперации производителей таких средств и систем.

6.1.6. Обеспечение безопасности  информационных систем и сетей  связи

6.1.7. Участие Республики  Беларусь в работе международных  организаций, определяющих принципы и направления сотрудничества в информационной области.

Приоритетные направления  обеспечения безопасности Республики Беларусь в информационной сфере

6.3.1. Совершенствование  механизмов реализации прав граждан  на получение информации, форм  и способов взаимодействия государства со средствами массовой информации. Обеспечение доступа к открытым информационным ресурсам государственных органов, органов местного управления и самоуправления, к архивным материалам, к другой открытой социально значимой информации.

6.3.2. Разработка и внедрение  современных методов и средств  защиты информационных технологий, прежде всего используемых в  системах управления войсками  и оружием, экологически опасными  и экономически важными производствами.

6.3.3. Осуществление государственного контроля за разработкой, созданием, развитием и использованием средств защиты информации.

6.3.4. Обеспечение правовых  и организационных условий предупреждения, выявления, пресечения преступлений  в информационной сфере.

6.3.5. Участие Беларуси в международных соглашениях, регулирующих на равноправной основе мировой информационный обмен, в создании и использовании межгосударственных и международных глобальных информационных сетей и систем.

Меры по защите информации (из закона «Об информации, информатизации и защите информации»)

К правовым мерам по защите информации относятся заключаемые  обладателем информации с пользователем  информации договоры, в которых устанавливаются  условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.