В 21-м веке чрезвычайно выросла значимость информационного обмена, как одного из условий стабильной и эффективной работы предприятия. С точки зрения безопасности, именно обладание актуальной, целостной и достоверной информацией на всех этапах работы предприятия или организации является является жизненно необходимым требованием для обеспечения стабильного функционирования государственных структур в области планирования, контроля и развития промышленной, научной и административной деятельности государства.
Одним из показателей жизнедеятельности общества является его непрерывное развитие. В этой связи, концепция взаимодействия государственных структур в области обеспечения информационной и общественной безопасности безусловно подлежит регулярному пересмотру, актуализации и модернизации.
Основными условиями, которые должны быть соблюдены при модернизации структур, обеспечивающих информационную безопасность жизнедеятельности государства и общества, являются:
- Актуальность. Изменения должны быть вызваны объективными причинами.
- Законность. Изменения должны укладываться в рамки существующей законодательной базы.
- Эффективность. Изменения должны приносить значимый экономический или административный эффект.
- Экономичность. Среди вариантов изменений необходимо выбирать наиболее соответствующих понятию “цена/качество”.
- Практическая реализуемость.
- Непротиворечивость. Изменения не должны вступать в противоречия с концепциями и законами в смежных областях, за исключением, когда они являются частью общеглобальных изменений.
- Профессиональность. Изменения должны быть спланированы и представлены специалистами и соответствовать принятой теории и практики в этой области.
Безопасность общества, на любом этапе его развития, в значительной степени зависит от актуальности, целостности и доступности информации, которая циркулирует как внутри общества, так и приходит извне.
В зависимости от уровня развития общества, ценность информации значительно меняется, соответственно изменяется и уровень ее защиты.
Система информационной безопасности не может эффективно работать без определения целей достижения, организация системы информационной безопасности (ИБ) всегда служит конкретным задачам, поэтому в зависимости от уровня исторического развития общества система ИБ претерпевает значительные изменения, обуславливаемые характером этого развития
Оценивая этапы развития общества с точки зрения информационной безопасности, нельзя не сказать о таком важном критерии, как интенсивность информационных потоков. Количество информации для обществ, находящихся на разном уровне экономического, социального и технического развития — различны. По сравнению с прошлым, количество информации в современном обществе растет с невиданной быстротой. Меняется не только количество, но и качество информации, появляются новые типы связей и виды информационных систем.
Методы контроля информационных потоков выбираются в зависимости от интенсивности, направленности, ценности и структуры информации, обрабатываемой и передаваемой информационными системами. Основными критериями для постановки задач являются количество и качество информации, структура и методы организации каналов связи и сложность систем, занятых в обработке информации.
Понятие “информационная безопасность” на сегодняшний момент не имеет четкого определения, единого для всех уровней образовательных и государственных стандартов.
Так, например, в ГОСТ Р 53114-2008 (Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения), несмотря на название, понятие “информационная безопасность” отсутствует, как факт. Вместо него используется понятие “безопасность информации”, что существенно сокращает области применения правил ИБ и превращает систему информационной безопасности в организации в инструмент защиты информации.
В ГОСТ Р ИСО/МЭК 17799-2005 (Информационная технология. Практические правила управления информационной безопасностью) Информационная безопасность — это механизм защиты, обеспечивающий конфиденциальность, целостность и доступность информации.
В контексте развития потребностей современного общества в информационной безопасности более уместным было бы определение понятия “информационная безопасность”, как “обеспечение достаточного уровня контроля информационных потоков для решения поставленных задач”.
Основной задачей формирующейся системы информационной безопасности является увеличение стабильности и повышения эффективности работы. Требования общества или организации к методам и способам контроля и защиты информации с одной стороны диктуются потребностями в данных действиях, а с другой — экономическими, организационными и технологическими возможностями на данном этапе развития.
При подготовке и осуществления перспективных планов работ величайшее значение приобретает система контроля выполнения поставленных задач. С точки зрения информационной безопасности любая система наказаний и поощрений является элементом общей системы управления.
Одним из результатов формирования системы информационной безопасности является обеспечение контроля финансовых, материальных и кадровых ресурсов. Благодаря повышению информированности руководства о нецелевом или неэффективном использовании достигается значительная экономия средств. Поэтому в сферу деятельности служб информационной безопасности всегда входит в частности проверка лояльности, соответствия квалификации кадров занимаемой должности и кругу выполняемых задач.
Экономические потери могут возникать, как вследствие неправильной внутренней политики организации, так и вследствие форс-мажорных обстоятельств. Одной из задач системы информационной безопасности является обеспечение резервирования всей критической информации и систем, занятых в ее обработке. Затраты на резервирование могут никогда и не окупится, но в случае возникновения форс-мажорных обстоятельств — окупаются многократно.
Одним из основополагающих документов в области обеспечения информационной безопасности является федеральный закон 152-ФЗ “О персональных данных”
В этом законе систематизируются взаимоотношения субъектов права в области ИБ и собственно государства. Однако, на практике, все требования закона выполнить не представляется возможным. В качестве доказательства приведем определение персональных данных из текста закона:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Как мы видим, используется термин “любая информация”, критерии определения персональных данных отсутствуют, что фактически делает закон недееспособным.
К сожалению, в большинстве случаев, понятия “информационная безопасность” и “защита информации” считаются тождественными.
При построении системы информационной безопасности нужно учитывать, что конечной целью является не защищенность, а обеспечение работоспособности и увеличение эффективности работы для достижение поставленных задач.
Одной из проблем, прямо вытекающих из отсутствия четких стандартов в определениях, является подготовка специалистов в области ИБ. В настоящий момент система образования нацелена на подготовку узких специалистов в данной области. Обладая значительными знаниями, профессионально подготовленный специалист в области защиты информации, прекрасно разбирается в технических средствах защиты, но не способен организовать построение системы ИБ.
Отсутствие утвержденной на государственном уровне единой системы стандартов в области ИБ является, наверное, наиболее значимой проблемой в настоящее время.
Построение системы ИБ на предприятии начинается с физической защиты помещений, линий и узлов связи и центров обработки информации. При отсутствии контроля физического доступа к технике, обрабатывающей информацию, говорить о ее защите не имеет смысла.
В этой связи особое значение приобретаю системы видеонаблюдения и контроля доступа.
Помимо обеспечения физической безопасности людей и защиты материальных ценностей, использование вышеозначенных систем жизненно необходимо для обеспечения информационной безопасности в организации.
Использование данных систем позволяет:
- Минимизировать последствия негативного воздействия “человеческого фактора”
- Повысить защищенность критически важных информационных объектов до приемлемого уровня.
- Предотвращать угрозы в режиме реального времени
- Расследовать инциденты с возможностью документального подтверждения нарушений.
- Оказывать помощь правоохранительным органам в случае необходимости.
К сожалению требования к системам видеонаблюдения и контролю доступа на предприятиях в настоящее время также не стандартизированы. Нередко качество аппаратуры не позволяет с достаточной степенью вероятности идентифицировать нарушителя, отсутствуют требования к наличию и соответственно, финансированию подобных систем, кране противоречивые требования к хранению и предоставлению отчетности полученных материалов в вышестоящие и государственные органы.
До сих пор не разъяснено соответствующими органами, являются ли данные полученные в процессе видеонаблюдения персональными.
Помимо аппаратуры, программное обеспечение, используемое в области видеонаблюдения и контроля доступа, также не стандартизировано, что весьма затрудняет подготовку специалистов, использование и устранение проблем программного обеспечения.
В настоящее время состояние защищенности на предприятиях и в организациях зависит только от воли руководства. Информация об инцидентах, нарушениях и об общем состоянии не передается ни в вышестоящие организации ни в соответствующие органы. Также отсутствует общая аналитика и планирование по данному вопросу на государственном уровне.
Несомненно наибольшее влияния на системы информационной безопасности будет оказывать дальнейшее развитие информационных технологий. По самой своей сути системы обработки данных нуждаются в наибольшем внимании со стороны информационной безопасности. Тем не менее, есть еще несколько важных аспектов, на которые следует обратить внимание.
Продолжаются процессы глобализации. Требования, технологии и стандарты, законодательство в области ИБ будут унифицироваться и стандартизироваться в масштабах планеты.
Изменится подход к образованию и к научной работе в области ИБ. Будет разработан математический аппарат, позволяющий с достаточной точностью рассчитывать риски и экономическую целесообразность внедрения систем ИБ. Свободное сообщество хакеров уйдет в прошлое. Теперь это будут специалисты в различных областях ИБ, работающие на государства и крупные корпорации. Будет повышаться ценность не только самой информации, но и способов, методов и результатов ее обработки.
Изменятся приоритеты в работе специальных служб. Обеспечения информационной безопасности займет лидирующие позиции в их деятельности.
Будет изменен подход к кадровому вопросу. В трудовых договорах как коммерческих, так и государственных организаций и предприятий пункты по соблюдению правил ИБ будут присутствовать в обязательном порядке.
Технические средства защиты информации будут становиться все более модульными и унифицируемыми.
Изменится подход к персональным данным в сторону усиления защищенности от честного доступа и облегчения доступа со стороны государства.
Теория и практика применения правил ИБ в настоящее время активно развивается и требует существенной корректировки для удовлетворения потребностей общества в информационной безопасности на данном этапе его развития.[schema type=»book» name=»ПРОБЛЕМАТИКА РАЗВИТИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» description=»Проблемы развития систем информационной безопасности» author=»Щучкин Алексей Евгеньевич» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-08″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_30.04.2015_4(13)» ebook=»yes» ]