На основании Доктрины ИБ РФ можно
выделить следующие объекты обеспечения
ИБ РФ в области развития отечественной
индустрии информации, включая индустрию
средств информатизации, телекоммуникации
и связи, обеспечения потребностей внутреннего
рынка в ее продукции и выходу этой продукции
на мировой рынок, а также обеспечения
накопления, сохранности и эффективного
использования отечественных информационных
ресурсов.
Для выявленных угроз выделены
их возможные источники, представленные
в таблице 3
Таблица 3 —Источники угроз в области
развития отечественной индустрии информации
№ источника угрозы |
Источники угроз |
1 |
Отечественная индустрия информации,
включая индустрию средств информатизации,
телекоммуникации и связи |
2 |
Зарубежные политические, экономические
и информационные структуры |
3 |
Иностранные государства |
4 |
Органы государственной власти
РФ |
На основании Доктрины ИБ РФ можно
выделить следующие нападения в
области развития отечественной
индустрии информации, включая индустрию
средств информатизации, телекоммуникации
и связи, обеспечения потребностей
внутреннего рынка в ее продукции
и выходу этой продукции на мировой рынок,
а также обеспечения накопления, сохранности
и эффективного использования отечественных
информационных ресурсов.
Нападения представлены в таблице
4.
Таблица 4 —Методы нападений в
области развития отечественной
индустрии информации
№ нападения |
Нападение |
1 |
Внедрение в средства информации,
телекоммуникации и связи
дестабилизирующих и деструктивных,
вредоносных программ, направленных на
затруднение развития отечественной индустрии
информации Российской Федерации |
2 |
Противодействие доступу Российской
Федерации к новейшим информационным
технологиям, взаимовыгодному и
равноправному участию российских
производителей в мировом разделении
труда в индустрии информационных
услуг, средств информатизации, телекоммуникации
и связи, информационных продуктов |
3 |
Уничтожение, повреждение, хищение
отечественных информационных ресурсов |
4 |
Привлечение высококвалифицированных
специалистов за рубеж |
Уязвимость – это слабость одного
или нескольких активов, которая
может быть использована одной
или несколькими угрозами. На основании
Доктрины ИБ РФ можно выделить уязвимости.
Уязвимости представлены
в таблице 5.
Таблица 5 —Уязвимости в области
развития отечественной индустрии информации
№ уязвимости |
Уязвимость |
1 |
Отсутствие конкурентоспособной
продукции |
2 |
Нарушение правильности работы аппаратных
и программных средств телекоммуникаций
и связи или сбои в их работе |
3 |
Недостаточная разработанность нормативной
правовой базы, регулирующей отношения
в информационной сфере, а также
недостаточная правоприменительная
практика |
4 |
Недостаточная защита информационных
ресурсов |
5 |
Критическое состояние отечественных
отраслей промышленности |
В Доктрине информационной безопасности
Российской Федерации выделены задачи,
которые нужно выполнить, чтобы
обеспечить информационную безопасность
Российской Федерации.
Сложившееся положение дел в
области обеспечения информационной
безопасности Российской Федерации
требует безотлагательного решения
таких задач, как:
- разработка основных направлений государственной политики в области обеспечения
информационной безопасности Российской
Федерации, а также мероприятий и механизмов,
связанных с реализацией этой политики;
- развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную
политику в этой области, включая совершенствование
форм, методов и средств выявления, оценки
и прогнозирования угроз информационной
безопасности Российской Федерации, а
также системы противодействия этим угрозам;
- разработка федеральных целевых программ обеспечения
информационной безопасности Российской
Федерации;
- разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
- совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами
массовой информации;
- установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований
информационной безопасности;
- координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения
информационной безопасности Российской
Федерации;
- развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития
России и реальности угроз применения
информационного оружия;;
- разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
- обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов
вооружения и военной техники;
- разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными
производствами;
- развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
- создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях
и в военное время;
- расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем
и систем связи;
- обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
- создание единой системы подготовки кадров в области информационной
безопасности и информационных технологий.
В доктрине информационной безопасности
Российской Федерации описаны общие
методы обеспечения информационной
безопасности Российской Федерации:
Общие методы обеспечения информационной
безопасности Российской Федерации разделяются
на правовые, организационно-технические
и экономические. К правовым методам обеспечения
информационной безопасности Российской
Федерации относится разработка нормативных
правовых актов, регламентирующих отношения
в информационной сфере, и нормативных
методических документов по вопросам
обеспечения информационной безопасности
Российской Федерации. Наиболее важными
направлениями этой деятельности являются:
- внесение изменений и дополнений в законодательство Российской Федерации, регулирующее
отношения в области обеспечения информационной
безопасности, в целях создания и совершенствования
системы обеспечения информационной безопасности
Российской Федерации, устранения внутренних
противоречий в федеральном законодательстве,
противоречий, связанных с международными
соглашениями, к которым присоединилась
Российская Федерация, и противоречий
между федеральными законодательными
актами и законодательными актами субъектов
Российской Федерации, а также в целях
конкретизации правовых норм, устанавливающих
ответственность за правонарушения в
области обеспечения информационной безопасности
Российской Федерации;
- законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной
власти и органами государственной власти
субъектов Российской Федерации, определение
целей, задач и механизмов участия в этой
деятельности общественных объединений,
организаций и граждан;
- разработка и принятие нормативных правовых актов Российской
Федерации, устанавливающих ответственность
юридических и физических лиц за несанкционированный
доступ к информации, ее противоправное
копирование, искажение и противозаконное
использование, преднамеренное распространение
недостоверной информации, противоправное
раскрытие конфиденциальной информации,
использование в преступных и корыстных
целях служебной информации или информации,
содержащей коммерческую тайну;
- сертификация средств защиты информации, лицензирование деятельности в области защиты государственной
тайны, стандартизация способов и средств
защиты информации;
- совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
- контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
- Экономические методы обеспечения информационной безопасности Российской Федерации включают
в себя:
- разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
- уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении
иностранных инвестиций для развития
информационной инфраструктуры России;
- законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
- определение статуса организаций, предоставляющих
услуги глобальных информационно-телекоммуникационных
сетей на территории Российской Федерации,
и правовое регулирование деятельности
этих организаций;
- создание правовой базы для формирования в Российской Федерации региональных структур обеспечения
информационной безопасности.
Организационно-техническими методами
обеспечения информационной безопасности
Российской Федерации являются:
- создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
- усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение
к ответственности лиц, совершивших преступления
и другие правонарушения в этой сфере;
- совершенствование системы финансирования работ, связанных
с реализацией правовых и организационно-технических
методов защиты информации, создание системы
страхования информационных рисков физических
и юридических лиц.
На основании Доктрины информационной
безопасности выявлены меры и методы
по обеспечению информационной безопасности,
которые могут предотвратить появление
угроз в области развития отечественной
индустрии информации, включая индустрию
средств информатизации, телекоммуникации
и связи, обеспечения потребностей внутреннего
рынка в ее продукции и выходу этой
продукции на мировой рынок, а также
обеспечения накопления, сохранности
и эффективного использования отечественных
информационных ресурсов, представленные
в таблице 6.
Таблица 6 — Меры по обеспечению
информационной безопасности Российской
Федерации в области развития
отечественной индустрии информации
№ основной меры по обеспечению ИБ |
Основная мера по обеспечению ИБ |
1 |
Создание и применение информационных
и автоматизированных систем управления
в защищенном исполнении |
Продолжение таблицы 6
2 |
Разработка, использование и совершенствование
средств защиты информации и методов
контроля эффективности этих средств,
развитие защищенных телекоммуникационных
систем, повышение надежности специального
программного обеспечения |
3 |
Установка и использование средств
криптографической защиты при передаче
конфиденциальной информации при ее
передаче по каналам связи. |
4 |
Разработка программ обеспечения
информационной безопасности РФ и определение
порядка их финансирования |
5 |
Лицензирование деятельности организаций
в области защиты информации |
6 |
Подготовка кадров в области
развития отечественной индустрии
информации, включая индустрию средств
информатизации, телекоммуникации и связи |
7 |
Сертификация средств защиты информации
и контроля эффективности их использования,
а также защищенности информации
от утечки по техническим каналам
систем и средств информатизации
и связи |
8 |
Введение территориальных, частотных,
энергетических, пространственных и
временных ограничений в режимах
использования технических средств,
подлежащих защите |
9 |
Повышение конкурентоспособности
выпускаемой продукции/ продвижение
её на рынке. |
10 |
Создание выгодных условий труда
в данной области |
2 Определение отношений элементов модели
информационной безопасности в области
развития отечественной индустрии информации
2.1 Определение отношений между угрозами
и источниками угроз в области развития
отечественной индустрии информации
На данном этапе работы необходимо
экспертным методом установить отношения
между следующими видами элементов
:
- «источники угроз» - «угрозы», то есть установлено, какой источник какие угрозы инициирует;
- «угрозы» - «нападения», то есть установлено, какая угроза через какие нападения реализуется;
- «нападения» - «уязвимости», то есть, установлено какое нападение какие уязвимости использует;
- «уязвимости» - «объекты защиты», то есть установлено, какая уязвимость какому объекту принадлежит;
- «меры обеспечения ИБ» - «угрозы», то есть установлено, какие защитные меры какой угрозе противостоят.
Установлены связи угроз и источники
угроз:
- угроза вытеснения отечественной
продукции на отечественном и/или мировом
рынке, в отдельных его секторах обусловлена
влиянием зарубежных политических, экономических
и информационных структур;
- угроза утечки, потери или нерационального
использования информационных ресурсов
обусловлена влиянием отечественной индустрии
информации, включая индустрию средств
информатизации, телекоммуникации и связи,
а так же органами государственной власти
РФ;
- угроза оттока высококвалифицированных
специалистов за рубеж может быть осуществлена
под влиянием иностранных государств.
Матрица отношений между угрозами
и их источниками приведена в таблице
7, связь между элементами в таблице отмечены
«1», а ее отсутствие «0».
Таблица 7 — Матрица соотношений
«источники угроз» - «угрозы» в области
развития отечественной индустрии информации
| |
Угрозы |
1 |
2 |
3 |
|
Источники
угроз |
1 |
0 |
1 |
0 |
2 |
1 |
1 |
1 |
3 |
1 |
1 |
1 |
4 |
0 |
1 |
0 |