Формирование стандартов информационной безопасности

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Введение

Вопросы информационной безопасности играют сегодня огромную роль в сфере высоких технологий, где именно информация становится одновременно «продуктом и сырьём». Огромный мегаполис IT построен на всемирных реках данных из разных точек планеты. Её производят, обрабатывают, продают и, к сожалению, зачастую воруют.

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме.

Потому жизненно необходимы методы защиты информации для любого человека современной цивилизации, особенно использующего компьютер. По этой причине практически любой пользователь ПК в мире так или иначе «подкован» в вопросах борьбы с вирусами, «троянскими конями» и другими вредоносными программами, а также личностями стоящими за их созданием и распространением -- взломщиками, спамерами, крэкерами, вирусмэйкерами (создателями вирусов) и просто мошенниками, обманывающих людей в поисках наживы -- корпоративной информации, стоящей немалых денег.

Причём последние зачастую осуществляют задуманное руками своих жертв. А потому «технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.

Невозможно переоценить роль Средств Массовой Информации в их влиянии на формирование или деформирование институтов общества. Современный уровень таких наук, как социология и социальная психология в соединении с различными видами искусств, управляемых законами рекламы и маркетинга, позволяет использовать слово, кино- и видеоизображение в качестве новых инструментов управления. Завоевания новейшей демократии - свобода слова и плюрализм мнений, к сожалению, не могут послужить преградой Силам, желающим использовать эти свободы в своекорыстных интересах, обращенных во зло обществу.

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась.

Существуют, так называемые, правовые меры обеспечения информационной безопасности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.



1.Стандарты информационной безопасности

информационный безопасность терроризм

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

2.Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "CommonCriteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "CommonCriteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "OpenGroup", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "OpenGroup" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Существующие международные стандарты:

BS 7799-1:2005 -- Британский стандарт BS 7799 первая часть. BS 7799 Part 1 -- CodeofPracticeforInformationSecurityManagement (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью организации, определённых на основе лучших примеров мирового опыта (bestpractices) в данной области. Этот документ служит практическим руководством по созданию Системы менеджмента информационной безопасности.

BS 7799-2:2005 -- Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 -- Information Security management -- specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

BS 7799-3:2006 -- Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности.

ISO/IEC 17799:2005 -- «Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.

ISO/IEC 27000 -- Словарь и определения.

ISO/IEC 27001 -- «Информационные технологии -- Методы обеспечения безопасности -- Системы управления информационной безопасностью -- Требования». Международный стандарт, базирующийся на BS 7799-2:2005.

ISO/IEC 27002 -- Сейчас: ISO/IEC 17799:2005. «Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности». Дата выхода -- 2007 год.

ISO/IEC 27005 -- Сейчас: BS 7799-3:2006 -- Руководство по менеджменту рисков ИБ.

German Information Security Agency. IT Baseline Protection Manual -- Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

3.Государственные (национальные) стандарты РФ

Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.

Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

Существующие Государственные (национальные) стандарты РФ:

ГОСТ Р 50922-2006 -- Защита информации. Основные термины и определения.

Р 50.1.053-2005 -- Информационные технологии. Основные термины и определения в области технической защиты информации.

ГОСТ Р 51188--98 -- Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

ГОСТ Р 51275-2006 -- Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р ИСО/МЭК 15408-1-2012 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15408-2-2013 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

ГОСТ Р ИСО/МЭК 15408-3-2013 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р ИСО/МЭК 15408 -- «Общие критерии оценки безопасности информационных технологий» -- стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности -- благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» -- защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 17799 -- «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением -- ISO/IEC 17799:2005.

ГОСТ Р ИСО/МЭК 27001 -- «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта -- ISO/IEC 27001:2005.

ГОСТ Р 51898-2002 -- Аспекты безопасности. Правила включения в стандарты.

4.Проблемы информационной безопасности и борьба с терроризмом

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;

необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Основная работа по снижению дестабилизирующих факторов в области информационной безопасности -- раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

показатели, характеризующие технологическую безопасность информационных систем;

требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;

ресурсы, необходимые для обеспечения технологической безопасности ИС;

внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;

методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;

оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;

Методы и средства определения реальной технологической безопасности функционирования критических ИС.

Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.

Проблема информационной безопасности заключается в том, что любую систему можно взломать.

Терроризм, как выражение крайнего экстремизма, основанное на различного рода разногласиях в политике, экономике, на религиозной или криминальной почве, обсуждается и осуждается давно. При современном уровне развития высоких технологий расширяются возможности их использования для совершения террористических действий. Во многих странах сегодня ведется активная работа по анализу потенциальных возможностей подобных проявлений и выработке мер по борьбе с этим злом.

Терроризм -- совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем.

Направления противоправных, злоумышленных действий на сетевой среде с целью использования их результатов для проведения террористических актов можно представить в виде следующих:

Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем.

Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.

Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д.

Ущерб от террористических действий на сетевой среде связан:

с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры;

с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности;

с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению;

с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса;

с другими возможными потерями от несанкционированного использования информации с высоким уровнем секретности.

Отличие подходов к предотвращению и реагированию на действия в случае террористического характера целей от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности, и, соответственно, величиной издержек от подобных злоумышленных действий.

В качестве понятия, интегрирующего противодействия кибертерроризму, рассмотрим антитеррористическую информационную безопасность с тем, чтобы подчеркнуть отличие от традиционной информационной безопасности.

Антитеррористическая информационная безопасность -- совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, -- оперативно реагировать на действия, способные привести:

к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов;

к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.

5.Антитеррористические действия

Основа антитеррористических действий с использованием сетевой среды -- традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, -- сложная, многоплановая задача.

Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

несанкционированный доступ к информационным ресурсам;

незаконное копирование данных в информационных системах;

хищение информации из библиотек, архивов, банков и баз данных;

нарушение технологии обработки информации;

противозаконный сбор и использование информации;

использование информационного оружия.

К программным угрозам относятся:

использование ошибок и «дыр» в ПО;

компьютерные вирусы и вредоносные программы;

установка «закладных» устройств;

К физическим угрозам относятся:

уничтожение или разрушение средств обработки информации и связи;

хищение носителей информации;

хищение программных или аппаратных ключей и средств криптографической защиты данных;

воздействие на персонал;

К радиоэлектронным угрозам относятся:

внедрение электронных устройств перехвата информации в технические средства и помещения;

перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

закупки несовершенных или устаревших информационных технологий и средств информатизации;

нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

6.Угрозы национальной безопасности России в информационной сфере

Угрозами национальной безопасности России в информационной сфере являются:

стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;

разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия указанным угрозам необходимо отнести:

постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;

минимизацию числа иностранных фирм -- поставщиков;

координацию действий по проверке надежности указанных фирм;

уменьшению номенклатуры поставляемого оборудования;

переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;

установлению приоритета в использовании отечественных средств защиты этих систем.



Заключение

Главная задача стандартов информационной безопасности -- создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов ИТ. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Таким образом, перед стандартами информационной безопасности стоит непростая задача - примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу - создание защищенной системы обработки информации.

Любое обеспечение информационной безопасности нуждается в контроле и проверке, которая не может быть произведена только лишь методом индивидуальной оценки, без учета международных и государственных стандартов.

Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ.



Список использованных источников

1.Юрий Родичев: Нормативная база и стандарты в области информационной безопасности. Учебное пособие

2.Основы информационной безопасности: защита информации 2-е изд., испр. и доп. Учебное пособие для СПО

3.Е. Баранова, А. Бабаш "Информационная безопасность и защита информации" 3-е изд. (2016)

4.Стандарты информационной безопасности[Электронный ресурс].URL:https://studref.com/322447/informatika/standarty_informatsionnoy_bezopasnosti(дата обращения :16.09.2019).

5.Проблемы информационной безопасности и борьба с терроризмом[Электронный ресурс]URL:https://referat.bookap.info/work/140896/Informacionnaya-bezopasnost-standarty-informacionnoj(дата обращения 15.09.2019).

6.Государственная система защиты информации[Электронный ресурс]URL:https://dehack.ru/gos_szi/(дата обращения 15.09.2019).

7.Международная информационная безопасность [Электронный ресурс]URL:https://mgimo.ru/about/news/experts/256505/(дата обращения 15.09.2019).

8.Стандарты информационной безопасности [Электронный ресурс]URL:https://works.doklad.ru/view/aqbQc4oQA90.html(дата обращения 15.09.2019).

9.Основные международные стандарты информационной безопасности [Электронный ресурс]URL:https://studfiles.net/preview/6211046/page:3/(дата обращения 16.09.2019)

10.Информационная безопасность [Электронный ресурс]URL:https://searchinform.ru/informatsionnaya-bezopasnost/(дата обращения 16.09.2019).

Размещено на Allbest.ru

...