Состав и содержание направлений информационной безопасности

Введение

В настоящее время, бесспорно, число информационных технологий расширяются в масштабном режиме. С этим фактом трудно не согласиться, ведь с каждым днем появляется большое количество разной информации, независимо от нас, хотим мы этого или нет. Соответственно, с возникновением инновационных технологий наиболее актуальной является проблема защиты информации в таких системах.
Сегодня мы все чаще слышим о том, что в странах постоянно случаются какие-либо инциденты информационной безопасности. И пусть кажется, что инциденты случаются где-то далеко, они вполне могут затронуть каждого из нас. Стоить отметить, что нет ни одной сферы общественной деятельности, которая не была бы интересна хакерам.
Актуальность избранной мною темы состоит в том, что вопрос информационной безопасности сегодня остро стоит не только на уровне государства и различных организаций, но и отдельных граждан, каждого из нас. В связи с чем наиболее важным видится обеспечение конституционных прав граждан на получение достоверной информации, на ее непосредственное использование в интересах осуществления законной деятельности учреждений, а также, безусловно, на защиту государственной, коммерческой, семейной, личной и других видов тайн.
Кроме этого, обеспечение информационной безопасности является одной из первостепенных задач каждого современного предприятия или организации. Стабильная защита информационной системы предприятия в лице отдела информационной безопасности - это залог надежной и безопасной среды для деятельности. Повреждение, утечка, неимение и кража информации - это всегда убытки для каждой компании.
Следует особо отметить, что в большинстве сфер достижение целей информационной безопасности сегодня сопряжено с существенными материальными затратами, поэтому в условиях ограниченности ресурсов это возможно только с помощью научно-обоснованной разработки и непосредственного осуществления комплекса взаимосвязанных организационно-технических мер.
Объектом моего исследования выступает информационная безопасность. Предметом исследования особенности обеспечения информационной безопасности на современном этапе.
Целью данной работы является изучение состава и содержания направлений информационной безопасности. Исходя из поставленной цели, можно выделить следующие задачи:
- изучить понятие и основные задачи информационной безопасности;
- рассмотреть угрозы и состав направлений обеспечения информационной безопасности;
- проанализировать современные методы комплексной защиты информации и информационной безопасности.
Методологической базой данной работы явились изучение научной литературы, анализ и синтез, а также методы системного подхода.


1 Понятие и задачи информационной безопасности
Впервые такое понятие как «информационная безопасность» в национальном законодательстве и политических документах появилось в статье 2 Закона РФ от 05.03.1992 № 2446-1 «О безопасности», в котором «информационная безопасность» была выделена как одна из составляющих безопасности Российской Федерации [7, c. 11].
Прежде всего, необходимо дать определения основным понятиям и терминам, непосредственно касающихся информационной безопасности. Если говорить кратко, то информационная безопасность – это защита конфиденциальности, целостности, а также доступности информации, которые являются составляющими ИБ (рисунок 1).

Рисунок 1 – Составляющие информационной безопасности
При этом конфиденциальность предполагает доступ к информационным ресурсам только авторизованным пользователям. Целостность – это неизменность информации в процессе ее непосредственной передачи или хранения. Доступность представляет собой свойство информационных ресурсов, которое определяет возможность получения и использования авторизованными пользователями информационных данных в конкретный момент времени.
Далее, перейдем к конкретным существующим трактовкам понятия «информационная безопасность». Здесь необходимо подчеркнуть, что существуют разные трактовки понятия «информационная безопасность» [2, с. 537]. Так, определение категории «информационная безопасность» было закреплено формально и в ряде актов разного уровня, в частности:
- информационная безопасность Российской Федерации - это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства (п. «в» ст. 3 Доктрины информационной безопасности Российской Федерации 2016 год).
Последнее определение разработано, несомненно, в духе Стратегии национальной безопасности Российской Федерации 2015 года. Информационная безопасность рассматривается здесь не только как самостоятельное направление, но и как ключевая составляющая обеспечения комплексной безопасности других сфер жизнедеятельности личности, общества и государства.
Анализируя трактовки понятия «информационная безопасность», необходимо обратить внимание на то, что основой формулой всех определений (как нормативных, так и научных) является «состояние защищенности», так как именно такой подход выражает традицию российской научной мысли в непосредственном понимании категории «безопасность».
То есть, как можно заметить, информационная безопасность состоит из определенного баланса интересов личности, общества и государства. Для достижения такого баланса необходимо, чтобы каждый конкретный индивид и общество в целом были ограждены от опасного информационного воздействия со стороны государства. Государство, в свою очередь, имеет право защищать своих граждан от вредного информационного воздействия из вне.
Таким образом, сегодня как само понятие «информационная безопасность», так и содержание обеспечения информационной безопасности требуют четкого понимания того, как законодатель представляет национальные интересы и угрозы в сфере информационной безопасности России

. Ниже рассмотрим задачи информационной безопасности подробнее.
Целостность данных (data integrity) предполагает защиту от сбоев, которые ведут к потере информации, и защиту от незаконного создания или уничтожениях данных. Стоит отметить, что в тех случаях, когда информация является непосредственным «руководством к действию», именно целостность оказывается наиболее важным аспектом.
Можно привести следующий пример нарушения целостности данных: повреждение бухгалтерских баз, что в дальнейшем, безусловно, повлечет за собой негативные последствия для компании.
Далее, следующая задача – это конфиденциальность информации (confidentiality) представляющая собой защиту от незаконного разглашения, утечки, повреждения информации.
Доступность информации для пользователей (availability) состоит в том, чтобы за приемлемое время получить требуемую информационную услугу. Другими словами, это защита от отказов в обслуживании или услугах, которые могут быть вызваны как вирусной активностью, так и действиями злоумышленников.
Можно сделать вывод, что информация для ее защиты должна быть [4, с. 36]:
- достаточно защищена от взлома извне;
- оперирована достаточно образованным лицом;
- недоступна для неуполномоченных лиц.


2 Угрозы и состав направлений обеспечения информационной безопасности
Многие компании в эпоху развития информационных технологий и внедрения инноваций подвержены угрозам безопасности информационных ресурсов. Физические и информационные ресурсы должны быть защищены от внутренних и внешних угроз.
Под угрозой информационной безопасности понимается совокупность факторов и условий, создающих опасность нарушения информационной безопасности, которая вызывает или способна вызвать негативные последствия (ущерб/вред) для организации [1, с. 15]. На рисунке 2 представлены угрозы информационной безопасности по их функциональной направленности.

Рисунок 2 - Угрозы ИБ по их функциональной направленности
Результатом таких угроз могут стать как материальные убытки, так и в целом испорченная репутация компании. Кроме этого, угрозы, которым подвержены предприятия могут быть, как преднамеренными, так и непреднамеренными [1, с. 16].
Можно рассматривать следующую классификацию угроз информационной безопасности со стороны злоумышленника [5, c. 52]:
- несанкционированный доступ - получение доступа к информационному ресурсу, на который у злоумышленника нет прав. Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации;
- человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений [6, c. 57].
Большая часть утечки информации объясняется либо халатностью персонала банка, который оставляет важную информацию в доступном месте, например, привычка записывать имя или пароль на клочке бумаги, лежащем на столе, сотрудник банка может вынести носитель информации за пределы территории, либо инсайдерской деятельностью;
- вирусные атаки, то есть в результате действия, например, «троянского коня» возможно искажение, хищение, удаление критически важной информации;
- распространение программного обеспечения, специализирующего на хищении паролей;
- уничтожение информации в результате поломки программно-технического обеспечения, сбоями операционных систем.
Защита информации на предприятии представляет собой комплекс мероприятий по обеспечению безопасности данных клиентов и сотрудников, важных электронных документов и различного рода информации, тайн. Следует начать с того, что направления информационной безопасности предполагают принятие правовых, организационных и технических мер защиты информации (рисунок 3).

Рисунок 3 – Направления обеспечения информационной безопасности
Рассмотрим подробнее данные направления в следующем разделе данной работы.

3 Современные методы комплексной защиты информации и информационной безопасности
Вопросы регулирования информационной безопасности в правовом аспекте занимают все более существенное место в законодательстве России. Проникая при этом абсолютно во все сферы деятельности общества и государства, информация приобретает и конкретные материальные, а также политические выражения. Правовое регулирование информационной безопасности формируется на базе информационных правоотношений, охватывающих все направления деятельности субъектов информационной сферы. На рисунке 4 изображена правовая модель информационной безопасности.

Рисунок 4 – Правовая модель информационной безопасности
Законодательная база в сфере информационной безопасности включает пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов.
Основоположным законодательным актом в России, регулирующим отношения в информационной сфере (в том числе связанные с защитой информации), является Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ.
Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Доктрина информационной безопасности РФ.
Конституция РФ является основным источником права в области обеспечения информационной безопасности в России. Доктриной определены принципы и задачи деятельности государственных органов по обеспечению информационной безопасности.
В отличие от Доктрины 2000 года в Доктрине 2016 года на первый план выносятся вопросы развития национальных информационных технологий на совершенно качественно инновационном уровне, а также стремления РФ к лидирующим позициям на международной арене. Это объясняется тем, что разница в утверждении Доктрин составляет 16 лет, и совершенно очевидно то, что за это время проделана просто колоссальная работа во всех сферах национальных интересов и приоритетов РФ, которые обозначены в том числе и в Доктрине 2000 г.
Важная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной безопасности.
Основными документами в этом направлении являются:
•Уголовный кодекс Российской Федерации;
•Кодекс Российской Федерации об административных правонарушениях.
Организационный принцип обеспечения комплексной безопасности состоит в определяющих базу и содержание системы защиты мерах как управленческого, так и ограничительного и технологического направления, которые непосредственно побуждают персонал организации соблюдать предписанным правилам.
Организационный принцип обеспечения комплексной системы безопасности выполняет следующие функции:
•организует входящие в систему менеджмента ИБ процессы;
•разработки системы политик в области ИБ;
•подготовки актов и инструкций по ИБ в области:
•организации охраны, режима, работу с кадрами, с документами;
•применения технических средств безопасности и информационно-аналитической деятельности по выявлению внутренних и внешних угроз.
Современные методы криптографической защиты, а также информационные технологии предоставляют множество разнообразных решений проблем информационной безопасности конфиденциальной информации, которые основаны на определенных механизмах, в зависимости от ситуации и условий, смещенных в сторону того или иного составляющего вектора.
Для того, чтобы определить оптимальный уровень информационной безопасности системы необходимо, прежде всего, учитывать степень взаимодействия всех ее составляющих, а также их непосредственное влияние на работу конечного пользователя, учитывая применимость того или иного решения в конкретной ситуации функционирования информационной системы