Анализ угроз и разработка предложений по обеспечению безопасности российской федерации в области развития отечественной индустрии инфор

На основании Доктрины ИБ РФ можно  выделить следующие объекты обеспечения ИБ РФ в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для выявленных  угроз выделены  их возможные источники, представленные в таблице 3

Таблица 3 —Источники угроз в области  развития отечественной индустрии информации

№ источника угрозы	Источники угроз
1	Отечественная индустрия информации, включая индустрию средств информатизации, телекоммуникации и связи
2	Зарубежные политические, экономические и информационные структуры
3	Иностранные государства
4	Органы государственной власти РФ

На основании Доктрины ИБ РФ можно  выделить следующие нападения в  области развития отечественной  индустрии информации, включая индустрию  средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Нападения представлены в таблице 4.

 

 

Таблица 4 —Методы нападений в  области развития отечественной индустрии информации

№ нападения	Нападение
1	Внедрение в средства информации, телекоммуникации и связи дестабилизирующих и деструктивных, вредоносных программ, направленных на затруднение развития отечественной индустрии информации  Российской Федерации
2	Противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и  равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов
3	Уничтожение, повреждение, хищение  отечественных информационных ресурсов
4	Привлечение высококвалифицированных  специалистов за рубеж

Уязвимость – это слабость одного или нескольких активов, которая  может быть использована одной или несколькими угрозами. На основании Доктрины ИБ РФ можно выделить уязвимости.

 Уязвимости представлены в таблице 5.

Таблица 5 —Уязвимости в области  развития отечественной индустрии информации

№ уязвимости	Уязвимость
1	Отсутствие конкурентоспособной продукции
2	Нарушение правильности работы аппаратных и программных средств  телекоммуникаций и связи или сбои в их работе
3	Недостаточная разработанность нормативной  правовой базы, регулирующей отношения  в информационной сфере, а также  недостаточная правоприменительная практика
4	Недостаточная защита информационных ресурсов
5	Критическое состояние отечественных  отраслей промышленности

В Доктрине информационной безопасности Российской Федерации выделены задачи, которые нужно выполнить, чтобы  обеспечить информационную безопасность Российской Федерации.

Сложившееся положение дел в  области обеспечения информационной безопасности Российской Федерации  требует безотлагательного решения  таких задач, как:

• разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
• развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
• разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
• разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
• совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
• установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
• координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
• развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;;
• разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
• обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
• разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
• развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
• создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
• расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
• обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
• создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

В доктрине информационной безопасности Российской Федерации описаны общие  методы обеспечения информационной безопасности Российской Федерации:

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
• Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

• создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

На основании Доктрины информационной безопасности выявлены меры и методы по обеспечению информационной безопасности, которые могут предотвратить появление угроз в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов, представленные в таблице 6.

Таблица 6 — Меры по обеспечению  информационной безопасности Российской Федерации в области развития отечественной индустрии информации

№ основной меры по обеспечению ИБ	Основная мера по обеспечению ИБ
1	Создание и применение информационных и автоматизированных систем управления в защищенном исполнении

 

Продолжение таблицы 6

2	Разработка, использование и совершенствование  средств защиты информации и методов  контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения
3	Установка и использование средств  криптографической защиты при передаче конфиденциальной информации при ее передаче по каналам связи.
4	Разработка  программ обеспечения информационной безопасности РФ и определение порядка их финансирования
5	Лицензирование деятельности организаций  в области защиты информации
6	Подготовка кадров в области  развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи
7	Сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам  систем и средств информатизации и связи
8	Введение территориальных, частотных, энергетических, пространственных и  временных ограничений в режимах  использования технических средств, подлежащих защите
9	Повышение конкурентоспособности  выпускаемой продукции/ продвижение  её на рынке.
10	Создание выгодных условий труда  в данной области

 

 

 

 

 

 

 

 

 

2 Определение отношений элементов модели информационной безопасности в области развития отечественной индустрии информации

2.1 Определение отношений между угрозами и источниками угроз в области развития отечественной индустрии информации

На данном этапе работы необходимо экспертным методом установить отношения  между следующими видами элементов  :

• «источники угроз» - «угрозы», то есть установлено, какой источник какие угрозы инициирует;
• «угрозы» - «нападения», то есть установлено, какая угроза через какие нападения реализуется;
• «нападения» - «уязвимости», то есть, установлено какое нападение какие уязвимости использует;
• «уязвимости» - «объекты защиты», то есть установлено, какая уязвимость какому объекту принадлежит;
• «меры обеспечения ИБ» - «угрозы», то есть установлено, какие защитные меры какой угрозе противостоят.

Установлены связи угроз и источники угроз:

• угроза вытеснения отечественной продукции на отечественном и/или мировом рынке, в отдельных его секторах обусловлена влиянием зарубежных политических, экономических и информационных структур;
• угроза утечки, потери или нерационального использования информационных ресурсов обусловлена влиянием отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, а так же органами государственной власти РФ;
• угроза оттока высококвалифицированных специалистов за рубеж может быть осуществлена под влиянием иностранных государств.

Матрица отношений между угрозами и их источниками приведена в  таблице 7, связь между элементами в таблице отмечены «1», а ее отсутствие «0».

 

Таблица 7 — Матрица соотношений  «источники угроз» - «угрозы» в области  развития отечественной индустрии информации

		Угрозы
		1	2	3
Источники угроз	1	0	1	0
	2	1	1	1
	3	1	1	1
	4	0	1	0