Комплексный анализ проекта обеспечения информационной безопасности в коммуникационных системах. Информационная безопасность с точки зрения государства и права
В настоящее время в областях информационных технологий (ИТ) стоят на первом месте вопросы создания и развития нормативной базы в области информационной безопасности, а также необходимость проведения комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности (ИБ).
Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы (ИС). Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок [1–4].
Любой человек, работающий в сфере ИТ, понимает необходимость обеспечения безопасности операционных систем (ОС). Необходимость наличия встроенных средств защиты на этом уровне не вызывает сомнений. Операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы.
Одной из задач ИС является хранение и обработка данных. Для ее решения были предприняты усилия, которые привели к появлению специализированного программного обеспечения — систем управления базами данных (database management systems, СУБД). СУБД позволяют структурировать, систематизировать и организовывать данные для их компьютерного хранения и обработки. Невозможно представить себе деятельность современного предприятия или учреждения без использования профессиональных систем управления базами данных. Несомненно, они составляют фундамент информационной деятельности во всех сферах — начиная с производства и заканчивая финансами и телекоммуникациями. В этом смысле ОС и СУБД похожи друг на друга.
Основу правового регулирования в области обеспечения ИБ операционных систем и систем управления базами данных, где обрабатывается конфиденциальная информация, составляют принятые законы и нормативные акты Российской Федерации. Одним из таких документов является «Доктрина информационной безопасности Российской Федерации», которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ [1]. Доктрина служит основой для формирования государственной политики в области обеспечения ИБ РФ и развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
По своей общей направленности угрозы ИБ РФ подразделяются на правовые; технологические; организационно-экономические (табл. 1).
Правовые |
|
Технологические |
|
Организационно-экономические |
|
Общие методы обеспечения ИБ РФ — организационнотехнические, правовые, организационноэкономические, программно-технические и экономические (табл. 2).
Организационно-технические |
|
Правовые |
|
Организационно-экономические |
|
Программно-технические |
|
Экономические методы |
|
Наиболее важными объектами обеспечения ИБ РФ в области науки и техники являются:
- результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
- открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
- научно-технические кадры и система их подготовки.
К числу основных внешних угроз ИБ РФ в области науки и техники следует отнести стремление развитых иностранных государств получить противоправный доступ к научнотехническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах.
К основным внутренним угрозам ИБ РФ в области науки и техники относятся:
- сохраняющаяся сложная экономическая ситуация в России, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
- серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
- сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.
Реальный путь противодействия угрозам ИБ РФ в области науки и техники — это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники.
- ISO/IEC 17799. Управление информационной безопасностью. Практические правила.
- Безопасность информационных технологий — Операционные системы — Базовый профиль защиты (проект). Центр безопасности информации. 2003.
- ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
- ЕСПД ГОСТ 19102-77. «Требования к планированию проектных работ по разработке программного обеспечения».
- Ковалев С. В. Расчетно-математическая модель управления рисками экономической безопасности проектов развития сложных систем // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
- Ковалев С. В. Модель обеспечения защиты информации предприятия на основе принципов риск-контроллинга // Информационная экономика: институциональные проблемы. Материалы Девятых Друкеровских чтений. М: Доброе слово. 2009.
- Ковалев С. В. Методология информационной безопасности сложных систем на основе системы управления промышленными рисками // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
- Ковалев С. В. Методология разработки и применения информационных технологий поддержки жизненного цикла наукоемкой продукции // Информационные технологии моделирования и управления. 2009. № 5(57).