Информационная безопасность в экономике кратко

Обновлено: 07.07.2024

Самым крупным по затратам проектом стало создание Национального технологического центра внедрения методов современной криптографии. На него будет выделено из федерального бюджета 11,5 млрд рублей, проект будет курировать ФСБ. [1]

Минцифры проверит безопасность своих ГИС за почти 150 млн рублей

Минцифры готово заплатить за независимую проверку защищенности государственных информационных систем (ГИС), включая мобильные приложения, 149 681 625,9 рубля. Информация об этом появилась в конце октября на портале госзакупок. Победитель тендера будет определен в начале декабря 2021 года. Проверка ГИС должна завершиться 30 марта 2022 года. Подробнее

Отмена субсидий для поддержки экспорта российских ИБ-решений

В начале февраля 2021 года стало известно о решении Министерства цифрового развития, связи и массовых коммуникаций РФ отменить субсидии для поддержки экспорта российских ИБ-решений. Соответствующий проект постановления правительства ведомство опубликовало на федеральном портале проектов нормативных правовых актов.



Минтруд: России не хватает 18,5 тыс. ИБ-специалистов

К концу 2020 года в России не хватает около 18 500 специалистов по информационной безопасности, что на 5% меньше, чем в 2019-м, когда дефицит таких кадров измерялся 19 500 человеками. Об этом сообщили в Министерстве труда и социальной защиты России по итогам исследования, которое коснулось более 15 тыс. компаний по всей РФ. Подробнее здесь.

Общее количество результатов паспорта федерального проекта увеличилось с 23 до 34, в том числе включены результаты, направленные на создание технологического центра исследования безопасности операционных систем, созданных на базе ядра Linux, разработку отечественного ресурса с уязвимостями уровня автоматизированных систем управления технологическими процессами и промышленного интернета, создание киберполигона для отработки отражения атак в условиях, приближенных к реальным.

В интересах бизнес сообщества в паспорт включены мероприятия по практико-ориентированному обучению информационной безопасности на базе опыта ведущих компаний цифровой экономики.

Кроме того, в рамках федпроекта ФСБ России реализует ряд мероприятий, одно из них, наиболее ресурсоемкое, направлено на конверсию российской криптографии. Речь в данном случае о переориентации на гражданскую сферу криптографических практик, реализуемых ранее в закрытом формате, при участии бизнеса и экспертного сообщества.

2017: Утвержден план мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика РФ"

По словам премьер-министра России Дмитрия Медведева, план содержит меры, которые позволяют препятствовать киберпреступлениям на современном технологическом уровне.

Финансирование

План предусматривает финансирование из федерального бюджета в размере 22 333 млн рублей и внебюджетное финансирование – 11 710 млн рублей.



По словам опрошенных изданием экспертов, самая затратная часть — это техническая реализация федерального проекта. К ней можно отнести проекты по фильтрации интернет-трафика, противодействию компьютерным атакам и созданию киберполигонов. В проект, по крайней мере в явном виде, не вошли меры, направленные на пресечение утечек и защиту персональных данных граждан, отмечают эксперты. В текущей редакции федерального проекта государство сосредоточилось на защите общества и самого себя от внешних и глобальных рисков, считают они.

Проекты информационной безопасности

2020: Разработка госплатформы для мониторинга фишинговых сайтов и утечек данных

В конце сентября 2020 года стало известно о создании в России государственной платформы для мониторинга утечек персональных данных. На реализацию проекта планируется потратить 1,4 млрд рублей. Подробнее здесь.

2019: В России появятся МФЦ по кибербезопасности

В конце октября 2019 года стало известно о появлении в России в будущем многофункциональных учебно-научных центров по проблемам обеспечения информационной безопасности.


Стало известно о появлении в России в будущем многофункциональных учебно-научных центров по проблемам обеспечения информационной безопасности

Информагентство отмечает, что защита от киберугроз является одной из ключевых составляющих национальной безопасности страны. Кибератаки на ИТ-инфраструктуру считаются одной из форм вмешательства сторонних сил в дела суверенных государств.

По данным российского Национального координационного центра по компьютерным инцидентам, в 2018 году было совершено более 4,3 млрд цифровых воздействий на критическую информационную инфраструктуру России. Чаще всего с атаками сталкиваются банки и органы власти в России. При этом спецслужбы отмечают увеличения числа попыток хакерских атак на информационную инфраструктуру критически важных объектов России, в том числе, в энергетике и на транспорте.

В октябре 2019 года премьер-министр РФ Дмитрий Медведев заявил, что Россия работает над развитием национальной системы в области обеспечения кибербезопасности, но тотальная безопасность в цифровом мире может привести к утрате частной жизни. [4]

Стандартизация

Значимые контрольные результаты на первый плановый год

По плану в 2018 году должен быть проведен анализ рисков и угроз безопасного функционирования единой сети электросвязи РФ. Также должен быть проведен анализ элементов действующей инфраструктуры российского интернет-сегмента на территории страны, включая существующую схему маршрутизации интернет-трафика.

Должны быть определены потребности использования на территории России компьютерного, серверного и телекоммуникационного оборудования российского производства, проведен анализ возможностей отечественных производителей оборудования и электронных компонентов, определены необходимые ресурсы. Кроме того, ожидается принятие нормативных правовых актов, определяющих описание типовых объектов закупок программного обеспечения. Дополнительно должны быть законодательно приняты требования к устойчивости и безопасности программного обеспечения органов государственной власти и организаций различных организационно-правовых форм.

В 2018 году будет определен центр компетенций по вопросам межмашинного взаимодействия, включая киберфизические системы и "интернет вещей", определены его подчиненность, полномочия, функции.

В этот же период планируется разработать архитектуру и прототип специализированного ресурса, предназначенного для взаимодействия граждан с уполномоченными органами в части оперативной передачи данных о признаках противоправных действий в области информационных технологий (компьютерного мошенничества, навязанных услуг операторов связи, фишинговых схем) в целях противодействия компьютерной преступности.

Также на 2018 года запланированы мероприятия по усовершенствованию стандартов безопасной разработки приложений, в том числе для государственных информационных систем.

Ожидаемые результаты на год окончания периода реализации плана мероприятий

По итогам реализации плана должны быть достигнуты целевые значения ИБ на сетях связи и в российском сегменте интернета. Должна быть создана система стимулов для приобретения и использования компьютерного, серверного и телекоммуникационного оборудования российского производства. Созданы механизмы стимулирования использования отечественного программного обеспечения всеми участниками информационного взаимодействия.

Помимо этого, должны быть приняты национальные стандарты киберфизических систем, включая интернет вещей. Обеспечен контроль обработки и доступа к персональным данным, большим пользовательским данным, в том числе в социальных сетях и прочих средствах социальной коммуникации. Созданы национальный и региональные центры реагирования на компьютерные инциденты.

Также ожидается, что по итогам выполнения программы будет разработана система мер поддержки российских производителей продуктов и услуг ИКТ, осуществляющих патентование продуктов за рубежом.

Целевые показатели и индикаторы

Утвержденный план содержит перечень целевых показателей и индикаторов. Так, например, доля внутреннего сетевого трафика российского сегмента интернета, маршрутизируемая через иностранные серверы, к 2024 году должна снизиться до 10%. С 50% в 2018 до 10% в 2024 должна упасть стоимостная доля закупаемого госсектором и компаниями с госучастием иностранного программного обеспечения.

С 10% в 2018 до 90% в 2024 году должна увеличиться доля субъектов информационного взаимодействия (органов госвласти и местного самоуправления, компаний с госучастием), использующих стандарты безопасности в киберфизических системах и в части интернета вещей.

Доля граждан, повысивших грамотность в сфере информационной безопасности, медиапотребления и использования интернет-сервисов к 2024 году должна составить 50%.

Средний срок простоя государственных информационных систем в результате компьютерных атак должен быть снижен с 65 часов в 2018 году до 1 часа в 2024.


Сегодняшние вызовы для ИБ — рост масштабов киберпреступности, недостаточный уровень кадрового обеспечения в сегменте ИБ, отставание РФ в разработке и внедрении отечественного программного обеспечения. Эти вызовы — реальные угрозы, ведь информационная безопасность является одной из составляющих общей национальной безопасности государства.


Спецификация информационной безопасности в условиях цифровой экономики

Информационная безопасность РФ в сфере экономики имеет свою специфику. В экономическом секторе под угрозой в первую очередь:

  • кредитно-финансовая система;
  • система государственной статистики;
  • системы бухучета организаций и предприятий (вне зависимости от формы собственности);
  • учетные и информационные автоматизированные системы федеральных органов исполнительной власти;
  • системы сбора, обработки, хранения и передачи информации (налоговой, финансовой, таможенной, биржевой, а также данных о внешнеэкономической деятельности).

Угрозы информационной безопасности в условиях цифровой экономики

Какие существуют угрозы? Их немало, не все из них очевидны, но все реальны:

  • Киберпреступления (например, проникновение злоумышленников в информационные системы банков).
  • Текущий уровень технологической зависимости РФ от других государств, так как по-прежнему широко используются зарубежные средства защиты информации.
  • Множество коммерческих структур (отечественных и зарубежных) на внутреннем рынке России, которые являются источниками и потребителями информации. Угроза состоит в том, что деятельность этих структур в сфере создания и защиты систем сбора, обработки, хранения и передачи информации слабо контролируется и высока вероятность несанкционированного доступа к конфиденциальной экономической информации.
  • Хищение информации, содержащей коммерческую тайну (что может нанести экономический ущерб предприятиям, вне зависимости от их формы собственности), а также противоправное копирование информации и ее искажение (вследствие случайных или преднамеренных нарушений технологии работы с информацией).

Для обеспечения нормального функционирования экономической сферы необходима надежная защита от потенциальных угроз в информационном пространстве. Основные цели средств защиты информации — предотвращение и нейтрализация случайных и преднамеренных угроз ИБ.


Основные меры защиты

Меры по обеспечению защиты информационной безопасности России:

  • Разработка и внедрение национальных защищенных систем электронных денег, электронных платежей, электронной торговли.
  • Разработка сертифицированных национальных средств защиты информации, внедрение этих средств в системы сбора, хранения, обработки и передачи экономической информации.
  • Улучшение методов отбора и подготовки персонала для работы с системами сбора, хранения, обработки и передачи экономической информации.
  • Госконтроль за созданием, развитием и защитой систем сбора, хранения, обработки и передачи экономической информации (речь идет о финансовой, статистической, биржевой, таможенной, налоговой информации).
  • Перестройка системы госотчетности с целью обеспечения достоверности, полноты и защищенности информации.
  • Совершенствование нормативной правовой базы, которая регулирует информационные отношения в сегменте экономики.

Защита внутренней политики

В условиях цифровой экономики наряду с общими методами обеспечения ИБ могут использоваться и частные методы. Но при этом есть общие угрозы и методы обеспечения информационной безопасности РФ, они также применимы для других сфер жизнедеятельности государства и общества.

Объекты

Наиболее важными объектами защиты в сфере обеспечения безопасности РФ считаются:

  • конституционные права и свободы каждого человека и гражданина;
  • суверенитет и территориальная целостность Российской Федерации;
  • конституционный строй, стабильность государственной власти РФ;
  • ресурсы СМИ, открытые инфоресурсы федеральных органов исполнительной власти.

Угрозы

К наиболее серьезным угрозам информационной безопасности внутренней политики относят:

  • нарушение конституционных прав и свобод граждан РФ ( например, нарушение неприкосновенности частной жизни, нарушение тайны переписки);
  • распространение дезинформации о политике РФ, событиях внутри страны и деятельности федеральных органов госвласти;
  • распространение дезинформации о событиях, которые происходят за рубежом;
  • деятельность общественных объединений, пропагандирующих разжигание вражды (на расовой, социальной, национальной, религиозной и других почвах), а также продвигающих идеи нарушения целостности РФ, насильственного изменения основ конституционного строя;
  • недостаточное регулирование правовых отношений в сфере полномочий на использование СМИ среди различных политических сил (речь идет об использовании СМИ для пропаганды идей).

Мероприятия

Мероприятия для обеспечения инфобезопасности РФ в сфере внутренней политики:

  • создание системы, которая будет противодействовать монополизации сегментов информационной инфраструктуры отечественными и зарубежными субъектами (речь идет в том числе о СМИ и рынке инфоуслуг);
  • контрпропагандистская деятельность против дезинформации о внутренней политике РФ, целью которой является предотвращение негативных последствий дезинформации.

Как видим, с точки зрения теории, политических решений и правовых инициатив информационная безопасность страны обеспечивается на должном уровне. Теперь скажем несколько слов о конкретике — то есть о технических методах защиты.

Технические методы защиты

Технические методы и средства защиты информации включают в себя:

  • резервное копирование наиболее важных документов;
  • ограничение возможности перехвата побочных электромагнитных излучений;
  • ограничение физического доступа к объектам компьютерных систем;
  • профилактику заражения компьютерными вирусами;
  • разграничение доступа к процессам компьютерных систем и информационным ресурсам (шифрование информации при ее передаче и хранении, установка правил разграничения доступа).

Утечка по техническим каналам

Технический канал утечки информации (ТКУИ) представляет собой совокупность объекта разведки, технического средства разведки и физической среды, в которой распространяется информационный сигнал. По сути, ТКУИ — это способ получения информации об объекте с помощью технического средства разведки (имеются в виду совокупность данных или сведения об объекте разведки, вне зависимости от формы представления этой информации).

Для предотвращения утечки информации по техническим каналам применяют меры, направленные на закрытие каналов утечки. Для этого в потенциально опасных зонах ослабляют уровень информационных сигналов или уменьшают отношение сигнала к шуму (например, создают вибрационные и акустические помехи).

Несанкционированный доступ

Под несанкционированным доступом понимают взаимодействие с информацией (ее чтение, разрушение, блокировку или обновление) без наличия соответствующих полномочий. Для защиты информации от несанкционированного доступа применяются технические и программные средства, шифрование, организационные мероприятия (контроль физического доступа, пропускной режим).

Основные меры по обеспечению информационной безопасности Российской Федерации

Между информационной безопасностью РФ и защищенностью национальных интересов РФ в разных сферах есть прямая связь. Недостаточная защищенность информационного пространства государства приводит ко многим негативным последствиям, таким как утрата важной информации (экономической, политической, научно-технической), нарушения конституционных прав граждан, серьезные экономические потери предприятий.

Среди целей ИБ — обеспечить технологическую независимость и безопасность функционирования инфраструктуры обработки данных. Для этого государство использует следующие меры:

Современное общество имеет статус информационного, где широкое развитие получили средства вычислительной техники и средств связи, они позволяют концентрировать, обрабатывать и передавать информацию в таком количестве и с такой скоростью, что ранее казалось немыслимым. Новые информационные технологии способствуют расширению производственной и непроизводственной деятельности человека, его повседневной сферы общения. Для современной экономики все меньшую значимость составляют материальные блага, а наибольшее значение придается информационным продуктам и услугам.

Процессы информатизации связаны с использованием различных информационно-телекоммуникационных средств и систем. Растет потребность в создании и использовании эффективных решений в области информации.

Под информационным пространством понимается такая сфера деятельности человека, которая связана с созданием, преобразованием и использованием информации.

Данная сфера состоит из:

  • Индивидуального и общественного сознания;
  • Информационных ресурсов, т.е. информационной инфраструктуры, а также информации в целом и ее потоков.

Развитие инновационных технологий в области информации делает уязвимым любое общество. Интеграция национальных экономик привела к экономическим войнам, которые являются убыточными и слишком опасными, межгосударственное противоборство на современном этапе относится к разряду информационного.

Под информационной войной понимается информационное противоборство, цель которого состоит в нанесении ущерба важнейшим структурам второй стороны, подрыве его социальной и политической системы, дестабилизации общественной жизни.

Суть информационного противоборства состоит в межгосударственном соперничестве, которое реализуется при помощи информационного воздействия на ключевые управленческие системы другого государства и общество в целом.

Готовые работы на аналогичную тему

Под информационной преступность подразумевается осуществление воздействий информационного характера на информационное пространство или же его элементы с противоправными целями.

Информационное воздействие – это применение информационного оружия. Информационным оружием является такой комплекс технических средств, технологий и методов, которое предназначено для:

  • Контроля информационных ресурсов потенциального противника;
  • Вмешательства в процессы управленческих систем и сетей информации, систем связи с целью нарушения их работы;
  • Распространения дезинформации или же выгодной информации в обществе;
  • Воздействия на сознание и психику различных социальных групп.

Угроза безопасности информации – это события или действия, осуществление которых может привести к искажению, незаконному использованию или же разрушению баз данных, аппаратных и программных средств.

Из приведенных выше терминов можно сделать вывод, что информационная безопасность – это невозможность причинения вреда объекту безопасности и его свойствам, которые обуславливаются информацией и инфраструктурой информационного типа.

Составляющими информационной безопасности являются:

  • Состояние защищенности пространства информационного характера, которое обеспечивает его становление и развитие в интересах общества, предприятий и государства;
  • Инфраструктурное состояние, характерной особенностью которого является использование информации строго по назначению и отсутствие негативного воздействия на всю систему в целом;
  • Состояние информации, которое исключает или же существенно затрудняет нарушение ее конфиденциальности, целостности и доступности;
  • Экономическая составляющая, т.е. системы управления, системы принятия решений и т.д.
  • Финансовая составляющая, сюда входят базы данных, информационные сети банковских структур, финансовые системы обмена и расчетов.

Объекты информационной безопасности

Объектами информационной безопасности могут быть:

  1. Информационные ресурсы, которые содержат сведения, относящиеся к коммерческой тайне, и информацию конфиденциального характера, которая выражена в информационных массивах и базах данных;
  2. Системы и средства информатизации, которые состоят из средств вычислительной техники, сетей и систем, общесистемного и прикладного программного обеспечения, автоматизированных систем управления предприятием, систем связи и передачи информации, технических средств сбора, обработки и передачи данных и т.п.

Для коммерческой деятельности характерно возникновение информации, открытость которой для других участников рыночных отношений может значительно снизить прибыльность осуществляемой деятельности. При государственной деятельности образуется информация, свободный доступ к которой может снизить эффект от проводимой политики. Поэтому данная информация находится в закрытом доступе, а несанкционированное ознакомление с ней приводит к наказанию в рамках действующего законодательства. В данном случае объект информационной безопасности – это режим доступа к информационным ресурсам, а информационная безопасность состоит в невозможности нарушения данного режима.

Экономические аспекты информационной безопасности

Нестабильность экономических условий часто заставляет многие компании с особой внимательностью относиться к защите информации, при этом негативные события в области информационной безопасности напрямую влияют на доходность предприятий.

Экономические аспекты информационной безопасности проявляются при составлении сметы расходов на обеспечение данного типа безопасности, или же при возникновении инцидентов в системе информационной безопасности, которые приводят к заметным убыткам на предприятии. Оптимальным вариантом является учет всех аспектов при планировании всех мероприятий в сфере защиты информации. На современном этапе методы и решения позволяют создать высокий уровень безопасности, при этом затраты на данные мероприятия могут составлять весьма значительную долю от ИТ-бюджета (для крупных компаний это около 20-30%).

Экономика информационной безопасности на сегодняшний день выделяется в самостоятельную дисциплину, основу которой составляют общие экономические законы и методы анализа.

Аннотация: Понятия экономической и информационной безопасности. Ключевые вопросы ИБ. Виды угроз информационной безопасности и классификация источников угроз. Основные виды защищаемой информации. Правовое обеспечение информационной безопасности. Основные аспекты построения системы информационной безопасности.

Понятия экономической и информационной безопасности. Ключевые вопросы ИБ

Информация давно перестала быть просто необходимым для производства материальных ценностей вспомогательным ресурсом — она приобрела ощутимый стоимостный вес , который четко определяется реальной прибылью, получаемой при её использовании, или размерами ущерба, наносимого владельцу информации. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации (актуальности, полноты, непротиворечивости, конфиденциальности), циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, а также безопасность самих систем и технологий.

Современное развитие информационных технологий и, в частности, технологий Internet /Intranet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных закрытых физических каналов доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet . Поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам государственного и хозяйственного управления экономикой в России в условиях дефицита и противоречивости правовой базы породил целый комплекс проблем в области защиты данных, информации, знаний и самих ИКТ. Это и своеобразие становления рыночных отношений, и отсутствие обоснованных концепций реформ, и отставание в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинули на первый план вопросы обеспечения национальной, социальной и корпоративной безопасности, в том числе и в информационной сфере.

Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран [ Information Technology Security Evaluation Criteria ( ITSEC ). Harmonised Criteria of France-Germany-Netherlands-United Kingdom. — Department of Trade and Industry , London, 1991].

В 1992 году в России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

" Оранжевая книга " и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Динамичное развитие вычислительной техники, компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности на всех уровнях — национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

В 2012 году в США был опубликован годовой отчет "Компьютерная преступность и безопасность : проблемы и тенденции" ("Issues and Trends: 2012 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа компьютерных преступлений (39% из числа опрошенных). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 77%, в 59% случаев отмечались нарушения со стороны собственных сотрудников. В большом числе компаний (31%) вообще не следили за состоянием безопасности своих компьютерных и сетевых систем, полагаясь на защитные модули компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% опрошенных (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 78% констатировали значительные финансовые потери от этих нарушений;
  • 49% оценили потери количественно — их общая сумма составила более 640 млн. долларов.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 2012 году ущерб от компьютерных преступлений достиг более 900 миллионов долларов, что на 34% больше, чем в 2011 году. Каждое компьютерное преступление наносит ущерб примерно в 200-300 тысяч долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности (" Internet Week", 2013 г.).

Наибольший ущерб , по исследованиям Gartner Group , нанесло манипулирование доступом во внутреннее информационное пространство : кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет .

Однако, увеличение числа атак и распространение вирусов еще не самая большая неприятность — постоянно обнаруживаются новые уязвимые места в программном обеспечении. В информационных письмах Национального центра защиты инфраструктуры США (National Infrastructure Protection Center USA — NIPC ) сообщается, что за период с 2000 по 2012 годы выявлено несколько десятков существенных проблем с программным обеспечением, риск использования которых оценивается как средний или высокий. Среди "пострадавших" операционных платформ — почти все разновидности ОС Unix, Windows , Mac OS, . NET . В таких условиях специалисты и системы информационной безопасности должны уметь противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и на основе соответствующей политики вырабатывать адекватные меры по компенсации угроз и уменьшению рисков.

При анализе проблематики, связанной с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных систем и технологий — области, развивающейся беспрецедентно высокими темпами.

К сожалению, современная технология программирования не позволяет создавать полностью безошибочные и безопасные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ)!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного построения программных комплексов и контроля состояния защищенности программно-аппаратного обеспечения, телекоммуникационных устройств и сетей на всем протяжении жизненного цикла ИС.

Экономическая и информационная безопасность. Составляющие информационной безопасности

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы и сети? Как поддерживать режим безопасности информации в системах и сетях? Бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему — национальном, корпоративном или персональном.

Необходимость реализации, сопровождения и развития систем ИБ — это оборотная сторона широкого использования информационных технологий, так как наступление нового этапа развития ИТ закономерно приводит к быстрому падению уровня информационной безопасности (рис. 1.1).

Изменение уровня информационной безопасности в соответствии с уровнем развития ИТ

Отметим ещё одну существенную — можно сказать парадоксальную — особенность развития информационных технологий: технологии постоянно усложняются, однако квалификация нарушителей и злоумышленников понижается (рис. 1.2). Это происходит оттого, что новые средства создания программного кода и сетевые технологии изначально строятся так, чтобы они были доступны пользователям, не обладающим высокой профессиональной подготовкой.

Соотношение возрастания сложности ИТ и квалификации злоумышленников

В "Доктрине информационной безопасности Российской Федерации" защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного — федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты;
  • административного — действия общего и специального характера, предпринимаемые руководством организации;
  • процедурного — меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом предприятия;
  • научно-технического — конкретные методики, программно-аппаратные, технологические и технические меры.

Главными принципами обеспечения безопасности в соответствии с законом РФ "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта можно определить как "защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера" [Грунин О. А., Грунин С. О., 2002].

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ № 608 от 29 апреля 1996 г.;
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ № 24 от 10 января 2000 г.

Исходя из необходимости достижения целей обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления:

  • организацию эффективной защиты материальной, финансовой и интеллектуальной собственности,
  • защиту информационных ресурсов предприятия,
  • эффективное управление ресурсами и персоналом.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток — открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.

Общая структура информационной безопасности

Информационная безопасность. В общем случае ИБ можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений — производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" [Галатенко В. А., 2006].

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации — это принципиально более широкое понятие, включающее защиту информации, технологий, систем, материальных и нематериальных активов и персонала (рис. 1.3).

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трёх основных составляющих информационной безопасности (рис. 1.4):

Основные составляющие информационной безопасности

  • целостность — это, в первую очередь, актуальность и непротиворечивость информации, её защищенность от разрушения и несанкционированного изменения: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
  • конфиденциальность — засекреченная информация должна быть доступна только тому, кому она предназначена: такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступность (готовность) — это возможность за приемлемое время получить требуемую информационную услугу: данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

  • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access — UAA);
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Читайте также: