Современные проблемы и основные направления совершенствования защиты информации

     м) физические меры защиты (изоляция помещений с СВТ, установка контролируемых зон, пропускной режим, охранная сигнализация).

     Защите  также подлежат технические средства, не обрабатывающие информацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации, часофикации и другие.⁶ 

2.3. Способы  защиты информации в Интернете

     Способы защиты информации в Интернете:

     1)  организационные (административные) меры, направленные на разработку и создание информационной системы, на построение адекватной требованиям текущего момента времени политики безопасности. На данную группу мер приходится до 50-60% от всех ресурсов, расходуемых на защиту информации. В качестве примера такого рода мер можно привести разработку л принятие правил информационной безопасности на конкретном предприятии;

     2) физические меры защиты направлены  на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. На данные меры тратится при мерно 15-20% от всех ресурсов, расходуемых на защиту информации. Наиболее типичным образцом является организация контрольно-пропускного режима па предприятии;

     3) технические (иногда говорят технологические, или аппаратно-программные) меры защиты направлены на обеспечение безопасности непосредственно на каждом компьютерном рабочем месте, в локальной сети, на серверах, на устройствах, входящих в состав телекоммуникаций. На долю этой группы мер выпадает до 20-25% от всех ресурсов, расходуемых на защиту ин формации. К такого рода мерам можно отнести использование различных антивирусов, файерволов и т.д.;

     4) законодательные меры, связанные  с разработкой и исполнением  законодательных и нормативных актов, направленных на пресечение несанкционированных действий с защищаемой информацией и на защиту прав граждан, общества, государства в информационной сфере. На данные меры тратится примерно 5% от всех ресурсов, расходуемых на защиту информации.

     Зарубежный  опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации, по оценкам зарубежных специалистов, снижает вероятность совершения компьютерных преступлений вдвое.⁷

     Кроме того, в обязательном порядке должны быть реализованы следующие организационные мероприятия:

     - для всех лиц, имеющих право доступа к служебной и коммерческой тайне, должны быть определены категории доступа;

     - определена административная ответственность за сохранность и санк-ционированность доступа к информационным ресурсам:

     - налажен периодический системный контроль за качеством защиты информации;

     - проведена классификация информации в соответствии с ее важностью. дифференциация на основе этого мер защиты;

     - организована физическая защита  служебной и коммерческой тайны. Помимо организационно-управленческих мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные).

     Аппаратные  методы предназначены для защиты компьютерной техники от нежелательных физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, шифрозамки и устройства идентификации личности.

     Программные методы защиты предназначаются для  непосредственной защиты информации. Для защиты информации при ее передаче обычно используют различные методы шифрования данных. Как показывает практика, современные методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Например, в США, в соответствии с директивой Министерства финансов, начиная с 1984 г. все общественные и частные организации были обязаны внедрить процедуру шифрования коммерческой информации по системе DES (Data Encryption Standard). Как правило, российские пользователи справедливо не доверяют зарубежным системам, взлом которых стал любимым развлечением хакеров. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через неделю представило в ООН дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло много лет. Разработаны, сертифицированы и активно используются десятки отечественных систем шифрования. Ряд из них имеют криптографическую защиту, т.е. теоретически не могут быть взломаны за разумное время (менее десяти лет) даже сотрудниками ФАПСИ и уж тем более любопытствующими хакерами. 
 
 
 

2.4. Доктрина  информационной безопасности РФ

     Защита  информации осуществляется от:

     - утечки (неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками);

     - несанкционированного воздействия (воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);

     - непреднамеренного воздействия  (воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);

     - разглашения (несанкционированного  доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации);

     - несанкционированного доступа (получения  защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации);

     - разведки (получения защищаемой  информации технической, агентурной  разведкой).⁸

     В доктрине информационной безопасности РФ защита информационных ресурсов названа в качестве четвертого элемента информационной безопасности РФ.

     Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Информационная безопасность РФ является неотъемлемым элементом безопасности РФ в целом.

     Информационная  безопасность обеспечивается совокупность общих и специальных методов (способов).

Виды  общих методов обеспечения информационной безопасности: правовые, организационно-технические и экономические.

Правовые  методы включают в себя разработку нормативных правовых актов и  нормативных методических документов по вопросам обеспечения информационной безопасности.

     Организационно-техническими методами обеспечения информационной безопасности РФ являются совершенствование системы обеспечения информационной безопасности РФ, сертификация и стандартизация средств и способов защиты информации, лицензирование деятельности в области защиты государственной тайны, предупреждение и пресечение правонарушений в информационной сфере, создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и др.

     Экономические методы обеспечения информационной безопасности РФ включают в себя: разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; создание системы страхования информационных рисков физических и юридических лиц и др.

     К специальным методам относят  методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах, такие как: создание защищенной многоуровневой системы объединенных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем; повышение уровня профессиональной и специальной подготовки пользователей информационных систем, разработка системы принятия решений по оперативным действиям (реакциям), связанным с развитием чрезвычайных ситуаций и ходом ликвидации их последствий, разработка эффективной системы мониторинга объектов повышенной опасности и прогнозирование чрезвычайных ситуаций, совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, прогнозирование поведения населения под воздействием ложной или недостоверной информации, разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.

     Основными организационно-техническими мероприятиями  по защите информации в общегосударственных информационных и телекоммуникационных системах являются:

     - выявление и учет источников внутренних и внешних угроз. Проведение их мониторинга и классификации

     - разработка и принятие законов  и иных правовых актов

     - определение приоритетных направлений предотвращения, отражения. Нейтрализации угроз, минимизации ущерба от их реализации

     - страхование информационных рисков

     - установление стандартов и нормативов в сфере обеспечения информационной безопасности

     - разработка федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации

     - информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности;

     - лицензирование деятельности организаций в области отиты информации;

     - аттестация объектов информатизации при проведении работ ,связанных с использованием сведений, составляющих государственную тайну:

     - сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи:

     - введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

     - создание и применение информационных и автоматизированных систем управления в защищенном исполнении.⁹

     Технические, криптографические, программные и  другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации и подлежа; обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Данные отношения по сертификации регулируются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании).

     Органом по сертификации является юридическое  лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации. К функциям (полномочиям) органа но сертификации относятся:

     - привлечение на договорной основе для проведения исследований (испытаний) и измерений испытательные лаборатории (центры), аккредитованные в порядке, установленном Правительством Российской Федерации (при этом органы по сертификации не вправе предоставлять аккредитованным испытательным лабораториям (центрам) сведения о заявителе);