Основные задачи в области обеспечения информационной безопасности

1. Обеспечение информационных потребностей личности, общества и государства во всех сферах их жизнедеятельности.

2. Обеспечение прав граждан на тайну корреспонденции, телефонных и иных сообщений.

3. Эффективное использование национальных информационных ресурсов, создание условий по поддержанию сохранности и систематическому их пополнению.

4. Защита сведений, составляющих государственную, служебную, коммерческую и иную охраняемую законодательством тайну.

5. Развитие современных информационных технологий, национальной индустрии средств информатизации и связи, расширение участия республики в международной кооперации производителей таких средств и систем.

6. Обеспечение безопасности информационных систем и сетей связи.

7. Участие Республики Беларусь в работе международных организаций, определяющих принципы и направления сотрудничества в информационной области.

В соответствии с Концепцией национальной безопасности основными факторами создающими угрозу безопасности Республики Беларусь в информационной сфере являются:

1. Распространение недостоверной или умышленно искаженной информации, направленное на разрушение общественного согласия, духовных и нравственных ценностей общества, а также возбуждение национальной и религиозной вражды, социальной розни.

2. Зависимость информационной инфраструктуры Беларуси от импорта зарубежных информационных технологий, средств и систем информатизации, связи и программного обеспечения.

3. Недостаточная обеспеченность квалифицированными кадрами в области информационных технологий и защиты информации. Выезд на постоянное место жительства за рубеж высококвалифицированных специалистов и правообладателей интеллектуальной собственности.

4. Несоответствие информационного обеспечения государственных и общественных институтов современным требованиям управления экономическими, политическими и социальными процессами.

5. Недостаточное развитие государственной системы лицензирования, сертификации продуктов и систем информационных технологий и аттестации объектов информатизации в соответствии с требованиями информационной безопасности. Использование при создании и модернизации национальной инфраструктуры несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации и связи.

6. Рост числа преступлений, совершаемых с использованием информационных технологий. Несанкционированная разработка и распространение программ, нарушающих функционирование информационных систем и сетей связи.

7. Отсутствие в республике эффективной системы обеспечения сохранности открытой информации, в том числе представляющей интеллектуальную собственность.

Угрозы безопасности информационных технологий

Кража информации

Вредоносное ПО

Хакерские атаки

Спам

Халатность сотрудников

Аппаратные и программные сбои

Кража оборудования

Финансовое мошенничество

• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

• сбои и отказы оборудования (технических средств) АС;

• ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

• ошибки эксплуатации (пользователей, операторов и другого персонала);

• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Методы защиты информации

1. Административные методы

2. Технические методы

38 Организационные, программно-технические и юридические методы защиты информации.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ЭИС. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:

· устанавливается наличие конфиденциальной информации в разрабатываемой ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;

· определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.

· анализируется возможность использования имеющихся на рынке сертификационных средств защиты информации;

· определяет степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

· вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.

К методам обеспечения безопасности относятся:

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации с помощью регулирования использования всех ресурсов компьютерной информационной системы банковской деятельностью (элементов баз данных, программных и технических средств). Управление доступом включает следующее функции защиты:

· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

· – опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;

· – проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· – разрешение и создание условий работы в пределах установленного регламента;

· – регистрацию (протоколирование) обращений к защищаемым ресурсам;

· – реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Массировка - метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам большой протяженности данный метод является наиболее надежным.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводилась бы к минимуму.

Побуждение - метод защиты, побуждающий пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Принуждение- метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные методы реализуются на практике за счет применения различных средств защиты.

К основным средствам защиты относятся следующие.

Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.)

Программные средства - это программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.

Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии).

Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Наряду с шифрованием внедряются следующие механизмы безопасности:

· цифровая подпись;

· контроль доступа;

· обеспечение целостности данных;

· обеспечение аутентификации;

· управление маршрутизацией;

· арбитраж или освидетельствование.

При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, но в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.

Защита информации может осуществляться разными методами, но наибольшей надежностью и эффективностью обладают системы и средства, построенные на базе криптографических методов.