Функциональные компоненты информационной безопасности

Размещено на http://www.allbest.ru

Функциональные компоненты информационной безопасности

А.Е. Жатканбаева

Информационная безопасность является важным институтом личной, общественной и государственной жизни. Ее сущность просматривается посредством анализа различных аспектов информационной безопасности. Их многообразие позволяет понять разносторонность и специфику данного явления, роль и ценность обеспечения защиты информационного оборота в процессе жизнедеятельности человека, а также общественных и государственных образовании. Информационная безопасность обладает различными аспектами своего значения, а именно к ним необходимо отнести: социальный аспект; нормативно-правовой аспект; экономический аспект; финансовый аспект; военный аспект; экологический аспект; программно-технический аспект.

Социальный аспект информационной безопасности представляет собой сложный сегмент. Уже неоднократно отмечалось, что информация играет важное значение в жизни социума. Причем ее значимость является разносторонней, начиная с необходимости наличия информации и заканчивая тем, что в информационном секторе работает достаточно большая часть населения. Так, в экономически развитых обществах примерно 2% населения заняты в сельском хозяйстве, 12% в промышленном секторе (переработка вещества и выпуск продукции), 70% - в информационной сфере. В Казахстане цифра работников информационного сектора гораздо ниже - 25% (сельском хозяйстве - 46; остальные в промышленном). И эта цифра является значительной. В связи с этим, развитие информационного сектора, обеспечение ее безопасности и стабильности является одной из первоочередных задач, как экономики Казахстана, так и национальной безопасности страны. Концепция информационной безопасности РК раскрывает отдельные аспекты социального содержания информационной безопасности. В частности в ней указано, что «анализ современного состояния информационной безопасности в Казахстане показывает, что ее уровень в настоящее время не соответствует потребностям человека, общества и государства. Сегодняшние условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение». Кроме того, приходится осознавать, что общество в целом не готово к безопасному функционированию в свободной информационной среде. К этому же выводу приходят и социологи: «В целом приходится осознавать, что наше общество не вполне готово существовать и нормально функционировать в условиях возможных негативных и деструктивных информационных воздействий, информационно не защищено. Достаточно вспомнить, что население восприняло такое явление как финансовые пирамиды. Люди всех социальных слоев с удовольствием и даже с азартом бросились исполнять предписания недобросовестных информационных (рекламных) воздействий на массовое сознание. Это наводит на грустные мысли о том, какие беды стране может принести применение информационного оружия, если общество не выработает иммунитета к негативным информационным воздействиям, т.е. не научится приемам безопасного обращения с информацией». /с. 9/То есть, внутренним, социальным сегментом информационной безопасности является отношение общества к необходимости реализации основных принципов информационной безопасности и обеспеченность общества необходимыми информационными ресурсами. Вторым не менее важным сегментом информационной безопасности является - нормативно-правовой аспект, то есть нормативно-правовая обеспеченность, нормативно-правовое регулирование. Быстрое развитие информационных отношений, появление новых способов и приемов информационного обмена, возрастание роли информации в жизни личности, общества и государства, развитие информационного инструментария государственного управления и регулирования - все это требует создания и постоянного совершенствования нормативно-правовой базы. Которое в свою очередь формируется и систематизируется в еще одну новейшую, комплексную отрасль права - информационное право. К сожалению в Казахстане данная отрасль права только начала свое развитие, несмотря на существование существенного нормативного сегмента, но еще не получила должного научного обоснования и анализа. Анализ действующего законодательства в области информационного оборота и информационной безопасности позволяет выстроить их единую систему, которая и является нормативно-правовой системой информационного права Республики.

А именно:

1) информационно-правовые нормы, закрепленные международно-правовыми актами;

2) информационно-правовые нормы Конституции Республики Казахстан;

3) информационно-правовые нормы, оформленные в форме законов;

4) информационно-правовые нормы, закрепленные подзаконными нормативно-правовыми актами:

а) Постановление Правительства РК; б) акты центральных исполнительных органов власти, в системе которых особую роль занимают акты АИС и КНБ РК. в) локальные акты - акты предприятий, учреждений, корпорации и пр. Эта иерархия обусловлена тем, что зачастую в столь новой сфере законодательства как информационная, требуется принятие большого числа подзаконных нормативно-правовых актов, в том числе и локального характера. Кроме того, она позволяет соблюдать принцип верховенства закона. Что является особо важным сейчас, когда государство усиленно взялось за разработку данной сферы и соответственно совершенствует и расширяет данное законодательство. Иерархия актов, также определена кругом полномочий государственных органов, их компетенцией и сферой регулирования (управления). Конституция РК от 30 августа 1995 года, закрепляющая ключевые принципы информационного оборота и защиты информации в Республике. Конституция закрепляет круг основополагающих прав и обязанностей основных участников информационного оборота и их ответственность. информационный безопасность законодательство

Конституционные нормы находят свою дальнейшую регламентацию и уточнение в нормах законодательных и подзаконных актов. В республике принят ряд нормативных актов в области информационного обмена и информационной безопасности. К наиболее значимым, следует отнести: Закон РК «Об информатизации» от 11 января 2007 года, Закон РК «О связи» от 5 июля 2004 года, Закон РК «О СМИ» от 23 июня 1999 г., Закон РК «Об электронном документообороте» от 7 января 2003 года, Закон РК «О государственных секретах» от 15 марта 1999 года, Закон «Об электронном документе и электронной цифровой подписи» от 7 января 2003 года и другие. Данные законодательные акты регулируют специфические общественные отношения.Нормативно-правовые акты, регулирующие основания привлечения к юридической ответственности содержат в себе нормы, статьи предусматривающие применение мер уголовной, административной и гражданской ответственности за нарушение в области информационной безопасности и свободы информации. Но существующая нормативно-правовая база не является достаточной для регламентирования существующих и ожидаемых разновидностей общественных отношений в области информатизации, информационного оборота и защиты информации. Действующие нормы не охватили должного объема такого рода отношений. В качестве основы для анализа можно привести Концепцию информационной безопасности, которая предусматривает в качестве объекта информационной безопасности юридические лица. Обеспечение ими собственной безопасности, в том числе и в информационной сфере - есть их собственная проблема, собственное нормотворчество, по принципу «спасение утопающих - дело рук самих утопающих». Однако, нельзя забывать, что именно эти юридические лица являются основой экономики страны, местом работы и соответственно обеспечивают материальную основу для жизни достаточно большого процента населения. Государство должно установить основные параметры, в том числе и технического характера, обязав их соблюдать. Как это сделано в Соединенных Штатах Америки. В США был принят целый ряд специальных нормативно-правовых актов, устанавливающие определенные критерии информационного обмена, с целью защиты интересов собственных компании, банков и прочих юридических лиц. Так, например, Закон, называемый Актом Сарбейнса-Оксли (Sarbanes-Oxley Act of 2002, SOX), имеет другое название -- Закон о реформировании отчетности компаний и защите инвесторов (Public Company Accounting Reform and Investor Protection Act of 2002),который предусматривает жесткие меры, направленные на усиление контроля за сохранностью финансовой информации, предусмотренные в принятом Законе SOX, который явился следствием нескольких крупных скандалов, разразившихся в США на рубеже XX-XXI вв. Их причиной были нарушения рядом корпораций деловой этики (сокрытие истинного состояния финансов, неадекватные данные аудиторских проверок, факты проявления коррупции и др.), в результате чего оказалось подорванным доверие инвесторов. Поэтому, цель нового закона состояла в переходе к более строгой отчетности, укреплении корпоративного менеджмента и увеличении прозрачности финансового состояния корпораций. Закон создает обязательную для использования всесторонне обоснованную форму отчетности для всех компаний, занимающихся бизнесом в Соединенных Штатах. Согласно его положениям, аудиторские компании должны быть полностью независимы, они могут по своему усмотрению нанимать и увольнять сотрудников и консультантов. Считается, что положения Закона SOX существенно затрудняют попытки отмывания денег/с. 73 - 88/. И это далеко не первый и не единственный акт такого рода. И таких аспектов достаточно много. Нормативная база Казахстана не является достаточной для обеспечения информационной безопасности. Ей необходимо дальнейшее развитие. Необходимость полноправного членства в информационном обществе, помимо свободного доступа и обмена информацией, соответствующей технической и образовательной базы, требует высоко развитой и гибкой правовой базы. В связи с этим, на наш взгляд первоочередной задачей Казахстана в области информационной безопасности является: 1) разработать национальное законодательство по вопросам правовой регламентации обращения с информационными ресурсами, установления правового статуса пользователей открытых мировых систем, в частности Интернета; 2) продолжать активную работу по разработке и принятию специальных законодательных и подзаконных актов по вопросам информационного обмена и защиты информации, направленную для исполнения не только государственными органами и организациями, но и иными юридическими лицами (не являющимися государственными). В том числе определить перечень информации, не подлежащей передаче по открытым сетям; 3) активно участвовать в разработке и заключении международных договоров и соглашений, а также нормативов обеспечения функционирования мировых открытых сетей.

Экономический аспект информационной безопасности подразделяется на два критерия: 1) Информационные аспекты экономики; 2) экономика информационной безопасности. Первый аспект, а именно информационные аспекты экономики, обозначил ценность полной, достоверной и свежей информации в принятии решений, в том числе и в области экономики. От этого во многом зависит конкурентоспособность национальной экономики, социальная и политическая стабильность республики. «Сегодня, многие предприятия не имеют возможности получать достоверную информацию о той среде, в которой они работают, о тех возможностях, которыми они располагают, о конкурентах и своих конкурентных преимуществах. Во многом, поэтому они не в состоянии выдерживать конкуренцию и вынуждены сдавать свои позиции» /с.12/. Тому можно привести множество примеров, в том числе не знание информации о состоянии и реальном положении дел в Банке Туран-Алем, могло привести к кризисному состоянию экономики страны, банкротству фирм и предприятий, утрате накопленных финансовых средств населением - вкладчиками банка. К одной из серьезных проблем в данной сфере, нужно отнести и то, что в республике не обеспечена достаточная прозрачность финансовых потоков и операции. Важным является и то, что зачастую достаточно сложно узнать, кто стоит за теми или иными финансовыми программами, корпорациями и пр. Так, многие дольщики, принимавшие участие в строительстве жилых домов и коттеджей (Ак Аулы, Елисейские поля и др.) отмечают, что они не имели бы дел с теми лицами, чьи имена стали известны только после вмешательства органов прокуратуры, зная об их финансовом прошлом. Многие экономисты отмечают, что некоторые информационные потоки, искусственно закрываются и используются в частных интересах, большой процент такой информации касается тендеров, конкурсов и пр. Не менее важным является экономика информационной безопасности. Как уже отмечалось ранее в данной работе, затраты на информационную безопасность должны быть адекватны важностью, значимостью и ценой охраняемой информации. Расходы на современную технику, ее содержание, обновление, программное обеспечение занимают существенное место в расходах, не только фирм, корпораций, но и государственных органов. Сказывается необходимость постоянного поддержания уровня безопасности, в том числе и в совершенной технике и лицензированных программах, которые стоят не малых денег. Однако отказываться от этого не реально, если есть, что охранять и оно того стоит. Некоторые предприятия, запретили использовать на своей территории Internet, с целью избежания информационных атак, утечки информации и пр. Но и это не является решением проблемы.

Финансовый аспект информационной безопасности представляет собой, защиту финансовой информации. Особую роль этот аспект играет не только для финансовых корпорации, инвестиционных и иных фондов, банков, но и для обычных граждан, которые также имеют определенную конфиденциальную информацию и также подвержены финансовым рискам со стороны мошенников. Элементарно, заключение кредитных договор на граждан, которые даже об этом не подозревают, посредством использования их конфиденциальной информации (удостоверения личности, РНН). В данном случае виной является то, что эти документы не сохраняют своего статуса, хотя в принципе являются конфиденциальными. Нас постоянно заставляют оставлять копии во всех как финансовых, так и нефинансовых структурах, обоснованно и необоснованно. Что свидетельствует о не разработанности правового регулирования данного вопроса - обеспечение конфиденциальности личной информации, запрета требовать копии основных документов, что приводит к незащищенности граждан и потери денег банками. Не разработанным в данном случае остается вопрос ответственности самих банков перед потерпевшими гражданами, в случае злоупотребления должностными полномочиями сотрудниками банка, действия мошенничества с их стороны. Интересным было бы вспомнить опыт правительства США, который принял Закон Грэмма-Лича-Блили (Gramm-Leach-Bliley Act of 1999, GLBA), или Акт о модернизации финансовых услуг (Financial Services Modernization), подписанный президентом Клинтоном в ноябре 1999 г. Его разработка и принятие были вызваны участившимися случаями крупного мошенничества, совершенного в результате получения от банков сведений об их вкладчиках. В США информация, которую считают конфиденциальной (например, номера банковских счетов вкладчиков), на самом деле может продаваться и покупаться. В этом процессе, происходящем в киберпространстве, участвуют банки, компании по продаже кредитных карт и другие организации (например, рекламные агентства). В ноябре 1997 г. калифорнийский Чартер Пасифик Банк (Charter Pacific Bank) продал несколько миллионов номеров кредитных карточек фирме, занимавшейся бизнесом в сети Интернет. Эта фирма разослала на номера кредитных карточек требования об оплате фиктивных услуг, включая просмотр порносайтов. Такие требования получили даже те обладатели кредитных карточек, у которых вообще не было компьютеров. Чтобы замести следы, фирма использовала несколько названий и номеров своих банковских счетов. Несмотря на это мошенничество удалось разоблачить, и в сентябре 2000 г. в результате судебного разбирательства фирме пришлось выплатить 37,5 млн. долл./с.73-88/. Обеспечение конфиденциальности банками возложено на сами банки, и осуществляется ими же. При этом Национальный Банк осуществляет общую координацию этого процесса. Так, Постановлением Правления Национального Банка РК от 31 марта 2001 года № 80 были приняты «Правила по обеспечению безопасности информационных систем банков второго уровня и банковских организаций, осуществляющих отдельные банковские операции», реализация которых отслеживается банками. Банки и иные финансовые корпорации стремятся не разглашать информацию о своих финансовых упущениях, потерях вызванных незащищенностью своих информационных потоков, что, конечно негативно скажется на их коммерческом имидже.

Военный аспект информационной безопасности является довольно традиционным. Именно данный аспект получил наибольшее изучение, как с технической, так и с практической точек зрения. Но с развитием информационного общества, его способностью к практически мгновенной возможности передачи информации и безграничной аудитории восприятия кардинально поменялись инструменты войны. Появилось новое понятие - информационная война, где основным видом оружия является информационное воздействие на сознание масс, на сознание каждого, отдельно взятого человека. В свое работе «Информационные войны» Г.В. Почепцов отметил, что «Информационным оружием являются любые средства, сознательно используемые для воздействия на разум противника с минимальной физической силой и таким образом, что бы иметь высокую вероятность заставить противника выполнить наше желание» /с.383/. Информационное воздействие может применяться в различных целях, от позитивных до негативных. В качестве ярких примеров информационного воздействия за последние десятилетия приводят информационные противостояния СССР и США, а также применение информационного воздействия на мировое сообщество о наличии оружия массового поражения в Ираке, что позволило США с молчаливого согласия всего мира оккупировать территорию данной страны. Кроме того, достаточно показательными являются информационные противоборства США и Китая, приведшие к победе Поднебесной и резкому скачку доллара, соответственно к снижению экспорта продукции Америки. Компьютеризация военной техники, также является одной из форм информационной войны, которая позволяет с использованием новейших информационных технологий «сканировать» военные объекты противника и наносить точечные удары. О чем свидетельствуют военные действия на Ближнем Востоке, в Югославии, Ираке, Чечне.

Экологический аспект информационной безопасности заключается в необходимости наличия информации о состоянии экологий, о реальных и потенциальных угрозах для экологии, создаваемых вследствие антропогенных воздействии на окружающую среду, а также о объективных факторах - стихийных бедствиях, катаклизмов и их последствиях. Важность такого рода информации подчеркивается как международным сообществом, так и на государственном уровне. 23 октября 2000 года РК ратифицировала Конвенцию о доступе к информации, участию общественности в процессе принятия решений и доступе к правосудию по вопросам, касающимся окружающей среды (Орхусскую Конвенцию). В соответствии с которой закрепляется доступ общественности к экологической информации (статьи 4 и 5 Конвенции). Осознавая важность и значимость таких сведений, Закон РК «О государственных секретах» относит ее к кругу информации, не подлежащей засекречиванию. Ст.17 Закона, относит к ней информацию: 1) о чрезвычайных ситуациях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; 2) о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности. Тем самым реализуются процессуальные экологические права граждан, регламентированные Экологическим Кодексом РК от 7 января 2007 г. и Гражданско-процессуальным кодексом РК. В нашей стране не смотря на ратификацию Охрусской Конвенции, и принятия ряда отечественных нормативных актов, закрепляющих применение и реализацию ее норм, существуют достаточно серьезные факты не соблюдения, зачастую не исполнения государственными органами (должностными лицами). Так, по данным Комитета по соблюдению Конвенции, созданным в октябре 2002 года, из первых 10 сообщений общественности о несоблюдении Орхусской конвенции, поступивших в Комитет, 4 поступило из Казахстана. Эти цифры свидетельствуют о гражданской активности населения Казахстан, о значимости и необходимости владения такого рода информации.

Программно-технический аспект информационной безопасности является наиболее продвинутым, в отличие от всех выше рассмотренных. Программно-технические средства защиты информации представляют собой отдельные блоки информационного программирования (криптографию) и электронной механики. Программно-техническое обеспечение информационной безопасности носит важный прикладной характер, не позволяя хакерам и иным недобросовестным пользователям осуществлять несанкционированный доступ к охраняемой информации. Именно этот аспект является наиболее сложным, дорогим и специфичным, так как основан на применении специальных программных и технических средств. Использование программных и технических средств, направлены на обеспечение безопасности в виртуальной среде. Виртуальное пространство определяется как «информационное пространство, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленные в математическом, символьном или любом другом виде, находящиеся в процессе движения по локальным и глобальным компьютерным сетям, либо сведения, хранящиеся в памяти любого физического, либо виртуального устройства, а также другого носителя, специально предназначенного для их хранения, обработки и передачи» /с. 76-81/.

Использование противником программных и технических средств, поможет ему совершить следующие действия:

1) несанкционированное нарушение границ в киберпространстве, сопровождающееся проникновением во внутренние информационные системы или базы данных; 2) блокировка доступа к информационной системе, приводящая к так называемому «отказу в обслуживании» (denial of service, DoS); при этом система намеренно переполняется большим объемом посылаемых данных; 3) проникновение в электронную базу данных информационной системы с целью хищения содержимого этой базы или внесения в него каких-либо изменений; 4) внедрение в информационную систему программы, генерирующей заведомо неверные результаты; 5) установка «вынюхивающих» программ (packet sniffer), которые выслеживают, например, распространяемые по информационной сети пароли или электронные адреса и собирают их; 6) «заражение» информационной системы компьютерным вирусом, нарушающим функции этой системы и распространяющимся на другие системы с полным или частичным выходом их из строя; 7) распространение спамов (spamming) -- рассылка по электронной почте незапрашиваемых посланий с запрограммированными командами по лавинообразному распространению каждого из них путем «пристегивания» собранных электронных адресов; 8) электронное разрушение информационной системы в целом или ее отдельных блоков. Средой всякого рода кибератак является Интернет.

Именно благодаря чему в США, за первую половину 2002 г., количество взломов киберпространства сферы экономики, осуществленных через Интернет, превысило 180 тыс. Ежегодно число атак на Интернет увеличивается на 60 %, а количество инцидентов, связанных с недостаточной кибер-безопасностью, каждый год удваивается. Экономический ущерб от кибератак исчисляется многими миллиардами долларов. Так, суммарные убытки от распространения по информационным сетям в мае 2000 г. вируса «Love Bug» составили 15 млрд. долл. В начале 2002 г. киберпространство США было почти одновременно «заражено» четырьмя вирусами, убытки от которых превысили 12 млрд. долл. Параллельно росту числа кибератак увеличиваются расходы на безопасность киберпространства. Федеральное правительство США ассигновало на эти цели в 2001 г. 1,01 млрд долл., а в 2002 г. -- уже 2,71 млрд. долл.

Список литературы

1. Основы защиты информации: учеб. пособие для студ. Высш. Уч. заведений/ А.И. Куприянов, А.В. Сахаров, В.А. Шевцов. - 3-е изд, стер. - М.: Издательский центр «Академия», 2008. - 256 с

2. Ваганов П.А. Правовая защита киберпространства в США / Правоведение. -2006. - № 4. - С.

3. Почепцов Г.В. Информационные войны. М.: «Рефл-бук», К.: «Ваклер». - 2000. - 576 с.

3. Учебно-практическое пособие для судей по применению положений Орхусской Конвенции в Республике Казахстан. Проект/ Информационная система «Параграф».

4. Тропина Т. Киберпреступность и кибертерроризм // Компьютерная преступность и кибертерроризм. Сб. науч. статей / Под ред. В. А. Голубева, Н. Н. Ахтырской. Запорожье, 2004. Вып. I. С.189

Размещено на Allbest.ru