- информационная экспансия

- становление новой государственности в странах СНГ на основе принципов демократии, законности, информационной открытости;

- разрушение ранее существовавшей командно-административной системы государственного управления, а также сложившейся системы обеспечения безопасности;

- нарушение информационных связей

- стремление стран СНГ к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;

- низкая общая правовая и информационная культура в обществе.

Среди экономических факторов угроз информационной безопасности наиболее существенными являются:

- переход на рыночные отношения в экономике

- критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации;

- расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры

Из организационно-технических факторов угроз информационной безопасности ключевыми являются:

- недостаточная нормативно-правовая база в сфере информационных отношений

- слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг;

- широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;

- рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;

- обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.

Иерархическая классификация угроз информационной безопасности

Региональные факторы угроз информационной безопасности

Локальные факторы угроз информационной безопасности

Оценка безопасности информационных систем. Методы и средства построения информационной безопасноти, их структура

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

Системный

Принцип непрерывного развития системы..

Разделение и минимизация полномочий

Полнота контроля и регистрации попыток несанкционированного доступа

Обеспечение надежности системы защиты

Обеспечение контроля за функционированием системы защиты

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты

Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию.

1. Правовое обеспечение

2. Организационное обеспечение.

3. Информационное обеспечение

4. Техническое (аппаратное) обеспечение.

5. Программное обеспечение.

6. Математическое обеспечение.

7. Лингвистическое обеспечение.

8. Нормативно-методическое обеспечение.

Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер.

Методы и средства обеспечения безопасности информации в ИС схематически представлены на рисунке 1.

Рисунок 1 - Методы и средства обеспечения безопасности информации

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ.

Механизмы шифрования — криптографическое закрытие информации.

Противодействие атакам вредоносных программ

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе

Законодательные средства защиты определяются законодательными актами страны

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются.

Обеспечение информационной безопасности: правовое, организационно-экономическое, программно-техническое обеспечение защиты информационной безопасности

Программно-техническая подсистема защиты автоматизированных информационных систем, какой бы совершенной она ни была, в полном объеме не решает задач комплексной защиты объектов информационной безопасности. Используемые данной подсистемой физические, аппаратные, программные, криптографические и иные логические и технические средства и методы защиты выполняются без участия человека по заранее предусмотренной процедуре. Для обеспечения комплексного подхода к проблеме программно-техническое обеспечение защиты объектов информационной безопасности должно быть дополнено соответствующим правовым обеспечением.

Уголовно-правовая защита от компьютерных преступлений

принятие законодательных актов по уголовно-правовому регулированию этих отношений. Впервые были приняты такие законы в середине 70-х годов в отдельных штатах США.

За правонарушения при работе с документированной информацией органы государственной власти, организации и должностные лица несут ответственность в соответствии с действующим законодательством.

Организационно-экономическое обеспечение информационной безопасности

Организационно-экономические методы защиты информации предусматривают формирование и обеспечение функционирования следующих механизмов защиты:

- стандартизации методов и средств защиты информации;

- сертификации компьютерных систем и сетей по требованиям информационной безопасности;

- лицензирования деятельности в сфере защиты информации;

- страхования информационных рисков, связанных с функционированием компьютерных систем и сетей;

- контроля за действием персонала в защищенных информационных системах.

Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты.

Организационно-административные методы защиты информации

Они регламентируют процессы создания и эксплуатации автоматизированных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. Организационные методы зашиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем.

Программно-техническое обеспечение защиты информационной безопасности

Программно-техническая подсистема комплексной защиты объектов информационной безопасности включает: физические, аппаратные, программные, аппаратно-программные, криптографические методы и средства защиты информации. Остановимся на краткой характеристике методов и средств данной подсистемы защиты с учетом эволюции моделей информационных систем и тенденций развития технологии обеспечения безопасности в компьютерных сетях.

Защита информации в корпоративных сетях информационных систем управления

Создание системы защиты информации в корпоративной сети ИС порождает целый комплекс проблем. В комплексе корпоративная система защиты информации должна решать следующие задачи:

1) обеспечение конфиденциальности информации;

2) защита от искажения;

3) сегментирование (разделение на части) и обеспечение индивидуальности политики безопасности для различных сегментов системы;

4) аутентификация пользователей — процесс достоверной идентификации отождествления пользователя, процесса или устройства логических и физических объектов сети для различных уровней сетевого управления;

5) протоколирование событий, дистанционный аудит, защита, регистрационных протоколов и др.

Построение системы информационной безопасности сети основывается на семиуровневой модели декомпозиции системного управления OSI/ISO. Семь уровней сетевого управления включают: физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной уровни.

На физическом уровне, представляющем среду распространений данных (кабель, оптоволокно, радиоканал, каналообразующее оборудование), применяют обычно средства шифрования или сокрытия, сигнала. Они малоприменимы в коммерческих открытых сетях, так как есть более надежное шифрование.

На канальном уровне, ответственном за организацию взаимодействия двух смежных узлов (двухточечные звенья), могут быть использованы средства шифрования и достоверной идентификации пользователя. Однако использование и тех и других средств на этом уровне может оказаться избыточным. Необязательно производить (пере-) шифрование на каждом двухточечном звене между двумя узлами.

Сетевой уровень решает задачи распространения и маршрутизации пакетов информации по сети в целом. Этот уровень критичен в отношении реализации средств криптозащиты. Понятие пакета существует на этом уровне. На более высоких уровнях есть понятие сообщения. Сообщение может содержать контекст или формироваться на прикладном уровне, защита которого затруднена с точки зрения управления сетью. Сетевой уровень может быть базовым для реализации средств защиты этого и нижележащих уровней управления. К ним относятся: транспортный (управляет передачей информации), сеансовый (обеспечивает синхронизацию диалога), уровень представлений (определяет единый способ представления информации, понятный пользователям и компьютерам), прикладной (обеспечивает разные формы взаимодействия прикладных процессов).

Таким образом, архитектурную концепцию системы защиты информации в сетях можно представить в виде трех слоев: средства защиты сетевого уровня, middleware-системы и средства защиты, предлагаемые прикладными системами.

Этапы разработки систем защиты

При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.

Первая стадия — выработка требований

На второй стадии — определение способов защиты — принимаются решения

Третья стадия — построение системы информационной безопасности