Общепризнанным является факт возрастания
роли информационной безопасности в
общей системе национальной безопасности.
При этом под информационной безопасностью понимается
"состояние защищенности информационной
среды общества, обеспечивающее ее формирование
и развитие в интересах граждан, организаций
и государства".
В последнее время Концепция
национальной безопасности РФ, изло-женная
в Указе Президента РФ от 17.12.97г. №1300,
претерпела значитель-ные изменения.
Указом Президента РФ № 24 от 10.01.2000г. "О
концепции национальной безопасности
РФ" в нее были внесены поправки
и дополнения.
Как известно, эффективное функционирование
любой организацион-ной и организационно-технической
системы, в том числе информационной
среды, обеспечивается комплексом социальных
норм, регулирующих поведение коллективных
(юридических) и индивидуальных (физических)
субъектов управления. Такими регуляторами
являются нормы права, которые обеспечивают относительную
стабильность системы и ее развитие. Особая
роль при этом принадлежит сфере государственного
управления, одной из главных задач которой
является обеспечение действий субъектов
в соответствии с нормами права. В то же
время одно государство не способно справиться
в полном объеме с задачей обеспечения
безопасности всех субъектов информационных
отношений, однозначно отвечая лишь за
защиту сведений, составляющих государственную
тайну.
Информационное законодательство -
это совокупность норм права, регулирующих
общественные отношения в информационной
сфере.
Предметом правового регулирования
в информационной сфере являются:
- создание и распространение информации;
- формирование информационных ресурсов;
- реализация права на поиск, получение, передачу и потребление информации;
- создание и применение информационных систем и технологий;
- создание и применение средств информационной безопасности.
Формирование законодательства в
области информационного права
в России началось, в основном, со
времени появления "Концепции
правовой информатизации России", утвержденной
Указом Президента РФ от 28.06.93г. №966. В
основе информационного законодательства
находится свобода информации
и запретительный принцип права (все,
что не запрещено законом - разрешено).
Это закреплено в основных международных
правовых документах, например, в ст. 3
Всеобщей декларация прав человека от
10.12.48г. и в ст. 29 Конституции РФ, принятой
12.12.93г. В целях реализации этих прав и
свобод принимаемые законодательные акты
устанавливают гарантии, обязанности,
механизмы защиты и ответственность.
В настоящее время в стране действуют
следующие нормативные акты, регулирующие
отношения в информационной сфере.
- Конституция РФ.
- Федеральные законы:
- Гражданский кодекс РФ;
- Уголовный кодекс РФ;
- Уголовно-процессуальный кодекс
РФ;
- Кодекс РСФСР об административных
правонарушениях;
- Закон "Об информации, информатизации
и защите информации" и др. (всего
около 80 законов);
- Указы и Распоряжения Президента
РФ;
- Постановления Правительства
РФ;
- другие подзаконные акты: местные, ведомственные
и внутриоргани-зационные.
Совокупность вышеперечисленных
документов составляет правовую базу,
обеспечивающую нормативное регулирование
процессов информационного обмена,
в том числе и защиту информации.
Выделяют
4 уровня правового обеспечения информационной
безопасности.
Первый
уровень образуют международные
договоры, к которым присоединилась
Российская Федерация, и федеральные
законы России:
- международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
- Конституция РФ (ст. 23, право на тайну переписки);
- Гражданский кодекс РФ (ст. 139, возмещение убытков от утечек);
- Уголовный кодекс РФ (ст. 272-274, неправомерный доступ, распростра-нение вирусов, нарушение правил эксплуатации);
- Федеральный закон "Об информации, информатизации и защите информации" (ст. 10, категории доступа, ст. 21, порядок защиты информации);
- Федеральный закон "О государственной тайне" (ст. 5, перечень сведений, ст. 8, степени секретно, ст. 20, органы защиты, ст. 28, порядок сертификации средств защиты).
- Федеральные законы "О лицензировании отдельных видов деятельности", "О связи", "Об электронной цифровой подписи", "Об авторском праве и смежных правах", "О правовой охране программ для электронных вычислительных машин и баз данных".
Второй
уровень составляют подзаконные
акты, к которым относятся указы
Президента РФ, постановления Правительства
РФ, письма Высшего Арбитражного Суда
РФ, постановления пленумов Верховного
Суда РФ.
Третий
уровень составляют государственные
стандарты (ГОСТы) в области защиты
информации (ГОСТ Р 50922-96 "Защита информации.
Основ-ные термины и определения",
ГОСТ Р 50739-95 "Средства вычислительной
техники. Защита от несанкционированного
доступа к информации. Общие технические
требования", ГОСТ 28147-89 "Системы обработки
информации. Защита криптографическая.
Алгоритм криптографического преобразования"),
руководящие документы (руководящие документы
Государственной техничес-кой комиссии
при Президенте РФ), нормы, методики и классификаторы,
разра-ботанные соответствующими органами.
Четвёртый
уровень образуют локальные нормативные
акты, положения, инструкции, методические
рекомендации и другие документы
по комплексной защите информации в
информационных системах конкретной организации
(список сведений, составляющих коммерческую
тайну предприятия и т.п.).
4.Основные технологии
построения защищенных ЭИС (экономических
информационных систем).
Весь
процесс организации и разработки
ЭИС представляется следующими этапами:
1. Предпроектный
анализ:
- исследуется информационные множества объекта автоматизации и представляется документооборот, формы, макеты документов, оригинальная схема данных;
- изучается перечень работ (функций) исследуемого объекта, результаты представляются деревом функций с последующей их формализацией;
- разрабатывается техническое задание (ТЗ): то есть определяется что нужно автоматизировать, описывается информация на входе и выходе и дается общая постановка задачи;
- технико-экономическое обоснование (ТЭО) по необходимости разработки ЭИС.
2. Разработка
технического проекта ЭИС, который
задается в виде схемы работы
ЭИС, описывающей технологический
процесс. Каждый шаг технологического
процесса связан с внутримашинной
обработкой данных и с использованием
внутреннемашинной технологии по
реализации задач ЭИС.
3. Разработка
внутримашинной технологии обработки
данных (ВТОД) и внутреннего информационного
обеспечения (ВИО). ВТОД представляется
в виде:
- схемы взаимодействия модулей;
- схемы работы каждого модуля и схемы ресурсов модулей.
ВИО:
- описание ИО (форм документов входных, выходных, нормативных и их макетов);
- описание баз данных (БД), нормативно-справочной информации, оперативной информации, макетов хранения информации на
машинных
носителях.
4. Рабочий
проект. Построение алгоритмов и
программ, реализующих задачи ЭИС.
Если режим эксплуатации ЭИС
- диалоговый, а режим работы ЭИС
- децентрализованный, то разрабатывается
схема сценария диалога и программы
ведения диалога ЭИС.
5. Отладка,
внедрение и написание инструкции
по использованию ЭИС.
Основные
прагматические принципы построения ЭИС:
1.Подсистемность. Полученное ЭИС должно представлять
собой единое целое, иметь управляющее
устройство, которое устанавливает связи
между
пятью уровнями
(управление, информция, время, функции,
деятельность).
2.Комплексность. При разработке и внедрении ЭИС соблюдается
поэтапность по внедрению с последующей
координацией.
3.Принцип новых задач. ЭИС должна позволять автоматизацию
новых задач на объекте. Т.е. выполняется
принцип развития связей с принципом разомкнутости
системы.
4.Типовость. Разработка и внедрение предварительно
апробированных подобных решений. Используются
типовые проектные решения.
5.Принцип первого руководителя, т.е. отношение
руководителя к разработке ЭИС.
6.Принцип подготовленности персонала.
При проектировании
любой системы и, в частности,
ЭИС должны соблюдаться два основных
системных принципа: анализ и синтез.
Анализ - это процесс разбиения исследуемого
объекта на составные части (на подсистемы
и элементы) по внешним характеристическим
признакам.
При этом должны соблюдаться следующие
концепции анализа:
- концепция пары. Каждый вычлененный элемент исследуемого объекта характеризуется парой вида (вх. информация, вых. информация);
- концепция функциональной полноты. Каждому элементу ставится в соответствие функция. Тогда множество функций объекта должно обладать свойствами полноты, непротиворечивости и однозначности;
- концепция надежности элементов и системы в целом.
Синтез - это процесс создания единой функциональной
единицы из самостоятельно определяющих
ее частей. Основные концепции синтеза:
- концепция координации - входящие в систему (объект) элементы должны совмещаться между собой по времени, по передаваемой информации, по управлению, по деятельности;
- концепция качества переходных процессов - до тех пор, пока в Si-ой подсистеме или в некотором ei элементе не получен результат, не будет выполняться прием новых входных данных;
- концепция автономности - каждый ei элемент Si подсистемы представ-ляет собой самостоятельную единицу по обработке конкретной информа-ции и может быть вычленен из системы (объекта), проверен, отлажен, оттестирован и работать самостоятельно;
- концепция устойчивости - каждый элемент или подсистема должны быть качественны, то есть, надежны или помехоустойчивы, помехозащищены).
Таким образом,
в традиционно-фундаментальном аспекте
процесс построения ЭИС как системы
связан с анализом и синтезом предметной
области или экономического объекта,
что составляет сущность процесса проектирования
ЭИС.
Процесс проектирования - это процесс создания схемы объекта
по описанию его структуры, информационного
пространства, и состоит из трех этапов:
1.этап
концептуализации - связан с обследованием
будущего объекта;
2.этап
формализации связан со способом
представления информационно-функциональных
схем проекта;
3.
этап оптимизации схем и функций.
Заключение:
Острота проблемы защиты информационных
технологий в современных условиях
определяется следующими факторами:
- высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
- вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
- повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;
- отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
- концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
- наличием интенсивного обмена информацией между участниками этого процесса;
- количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
- обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
- дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);
- многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
- ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;
- развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).