Проблема інформаційної безпеки у російському законодавстві. Інформаційна безпека: основні проблеми. §1.1 Поняття та роль інформації на сучасному етапі розвитку російського суспільства

Проблема інформаційної безпеки у російському законодавстві. Інформаційна безпека: основні проблеми. §1.1 Поняття та роль інформації на сучасному етапі розвитку російського суспільства
05.12.2023

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Вступ

З технологічного погляду інформація є продукцією інформаційних систем. Як і будь-якого продукту, для інформації велике значення має її якість, тобто здатність задовольняти певні інформаційні потреби.

Актуальність цієї контрольної роботи. Забезпечення інформаційної безпеки в сучасній Росії представляється складним і специфічним процесом, схильним до впливу безлічі зовнішніх і внутрішніх факторів. Специфічний характер цього процесу визначається тими політичними умовами, у яких протікає.

Завдання даної контрольної роботи:

1. Розглянути інформаційну безпеку та її складові;

2. Розглянути проблеми інформаційної безпеки;

3. Вивчити правове забезпечення інформаційної безпеки.

Якість інформації є складним поняттям, його основу складає базова система показників, що включає показники трьох класів:

* клас видачі (своєчасність, актуальність, повнота, доступність та інші);

* клас обробки (достовірність, адекватність та інші);

* Клас захищеності (фізична цілісність, логічна цілісність, безпека).

Своєчасність інформації оцінюється часом видачі (отримання), протягом якого інформація не втратила своєї актуальності.

Актуальність інформації - це рівень її відповідності поточному моменту часу. Нерідко з актуальністю пов'язують комерційну цінність інформації. Застаріла та втратила свою актуальність інформація може призводити до помилкових рішень і цим втрачає свою практичну цінність. Повнота інформації визначає достатність даних для прийняття рішень або створення нових даних на основі наявних. Чим повніші дані, тим простіше підібрати метод, що вносить мінімум похибок у хід інформаційного процесу.

Достовірність інформації - це ступінь відповідності між отриманою та вихідною інформацією.

Адекватність інформації – це ступінь відповідності реальному об'єктивному стану справи. Неадекватна інформація може утворюватися під час створення нової інформації з урахуванням неповних чи недостатніх даних. Однак і повні, і достовірні дані можуть спричинити створення неадекватної інформації у разі застосування до них неадекватних методів.

Доступність інформації – міра можливості отримати ту чи іншу інформацію. Відсутність доступу до даних або відсутність адекватних методів обробки даних призводять до однакового результату: інформація виявляється недоступною. Одним із найістотніших показників якості інформації є її безпека.

Структура цієї контрольної роботи. Контрольна робота складається з: вступу, трьох розділів, висновків, списку використаної літератури.

I. Інформаційна безпека та її складові

Проблема забезпечення інформаційної безпеки актуальна з того часу, як люди почали обмінюватися інформацією, накопичувати її та зберігати. У всі часи виникала необхідність надійного збереження найважливіших досягнень людства з метою передачі їх нащадкам. Аналогічно виникала необхідність обміну конфіденційною інформацією та надійного її захисту.

З початком масового застосування комп'ютерів проблема інформаційної безпеки набула особливої ​​гостроти. З одного боку, комп'ютери стали носіями інформації і, як наслідок, одним із каналів її отримання як санкціонованого, так і несанкціонованого. З іншого боку, комп'ютери як будь-який технічний пристрій схильні до збоїв і помилок, які можуть призвести до втрати інформації. Під інформаційною безпекою розуміється захищеність інформації від випадкового чи навмисного втручання, що завдає шкоди її власникам чи користувачам. З підвищенням значущості та цінності інформації відповідно зростає і важливість її захисту. З одного боку, інформація стала товаром, і її втрата чи невчасне розкриття завдає матеріальних збитків. З іншого боку, інформація - це сигнали управління процесами у суспільстві, техніці, а несанкціоноване втручання у процеси управління може призвести до катастрофічних наслідків.

інформаційний безпека правовий захист

ІІ. Проблема інформаційної безпеки

Проблема інформаційної безпеки виникла досить давно і має глибоке історичне коріння. До порівняно недавнього часу методи захисту були у винятковій компетенції спецслужб, які забезпечують безпеку країни. Однак нові технології вимірювання, передачі, обробки та зберігання інформації значно розширили сфери діяльності людей, які потребують захисту інформації, призвели до розвитку та розповсюдження нових методів несанкціонованого доступу до інформації та, як наслідок, до інтенсивного розвитку нового наукового спрямування – «інформаційна безпека». Усе це пов'язано, передусім, із появою систем обробки даних з урахуванням комп'ютерів, і навіть з бурхливим розвитком систем передачі. Можна виділити деякі причини, які і призвели до необхідності розробки нових методів захисту інформації, так і до подальшого розвитку традиційних. Перші системи колективного користування ЕОМ, а потім об'єднання їх у глобальні та локальні мережі, технології відкритих систем вже на першому етапі виявили потребу у захисті інформації від випадкових помилок операторів, збоїв в апаратурі, електроживленні тощо. Стрімке зростання ємності зовнішніх пристроїв і висока ефективність їх використання в системах автоматизованого управління призвели до створення банків (баз) даних колосальної ємності та високої вартості, одночасно створюючи проблеми їх захисту, як від різноманітних випадковостей, так і від несанкціонованого доступу. Сучасні інформаційні системи складають технічну основу органів управління державної влади, промислових підприємств та науково-дослідних організацій, установ кредитно-фінансової сфери, банків тощо. Сьогодні, коли комп'ютер міцно увійшов у наш побут, ми все частіше змушені довіряти йому свої секрети (фінансові, промислові, медичні та ін.), і у зв'язку з цим питання захисту набувають всеосяжного характеру.

Крім суто технічних завдань розробки засобів захисту є нормативно-технічні, організаційно-правові, юридичні та інші аспекти. Основні завдання, які розглядають фахівці з інформаційної безпеки (а також публікації на цю тему), пов'язані із забезпеченням безпеки використання глобальних та локальних мереж, з проблемами глобальної обчислювальної мережі Інтернет, «хакерами», «вірусами» тощо. Резюмуючи сказане, можна виділити технічні, організаційні та правові заходи забезпечення інформаційної безпеки та запобігання комп'ютерним злочинам.

До технічних заходів відносяться:

1. захист від несанкціонованого доступу;

2. резервування особливо важливих компонентів підсистем;

3. організація обчислювальних мереж з перерозподілом ресурсів при тимчасовому порушенні працездатності будь-якої частини мережі;

4. створення пристроїв виявлення та гасіння пожеж;

5. створення механізмів виявлення витоків води;

6. технічний захист від розкрадання, саботажу, диверсій, вибухів;

7. дублювання електроживлення;

8. надійні замикаючі пристрої;

9. пристрої сигналізації про різні небезпеки.

До організаційних заходів належать:

1. надійна охорона;

2. підбір надійного персоналу;

3. правильна організація роботи персоналу;

4. передбачений план відновлення роботи інформаційного центру після збою;

5. організація обслуговування та контролю роботи комп'ютерного центру особами, які не зацікавлені в прихованні злочинів;

6. створення засобів захисту від будь-яких осіб, включаючи і керівний персонал;

7. передбачені заходи адміністративної та кримінальної відповідальності за порушення правил роботи;

8. правильний вибір місцезнаходження інформаційного центру з дорогим технічним та програмним забезпеченням.

До правових заходів належать:

1. розробка кримінальних норм відповідальності за комп'ютерні злочини;

3. удосконалення кримінального та цивільного законодавства;

4. удосконалення судочинства з комп'ютерних злочинів;

5. громадський контроль над розробниками комп'ютерних систем;

6. ухвалення низки міжнародних угод, що стосуються інформаційної безпеки.

Це дуже велика науково-технічна проблема і, природно, ми не можемо висвітлити її повною мірою і торкнемося лише основних понять, визначень та засобів захисту, доступних користувачеві, причому почнемо з найближчої проблеми пересічного користувача - зі збереження інформації, не пов'язаної з несанкціонованим доступом.

ІІІ. Правове забезпечення інформаційної безпеки

До правових заходів забезпечення інформаційної безпеки належить: розробка норм, які визначають відповідальність за комп'ютерні злочину; захист авторських прав програмістів; вдосконалення кримінального та цивільного законодавства, а також судочинства. До правових заходів слід віднести також громадський контроль за розробниками комп'ютерних систем та ухвалення відповідних міжнародних угод. Донедавна в Російській Федерації була відсутня можливість ефективної боротьби з комп'ютерними злочинами, оскільки ці злочини було неможливо вважати протизаконними, оскільки де вони кваліфікувалися кримінальним законодавством. До 1 січня 1997 р. на рівні чинного законодавства Росії можна було вважати задовільно врегульованою лише охорону авторських прав розробників програмного забезпечення і, частково, захист інформації в рамках державної таємниці, але не були відображені права громадян на доступ до інформації та захист інформації, безпосередньо пов'язані із комп'ютерними злочинами.

Частково зазначені проблеми було вирішено після набрання чинності 1 січня 1997 р. нового Кримінального кодексу (КК), прийнятого Державної Думою 24 травня 1996 р. У новому КК відповідальність за комп'ютерні злочину встановлюють ст. ст. 272, 273 та 274. Ст. 272 нового КК встановлює відповідальність за неправомірний доступ до комп'ютерної інформації (на машинному носії в комп'ютері або мережі комп'ютерів), якщо це призвело до знищення, блокування, модифікації або копіювання інформації, або до порушення роботи обчислювальної системи. (Під блокуванням розуміється така дія на комп'ютер або комп'ютерну систему, що спричинило тимчасову або постійну неможливість виконувати будь-які операції над інформацією.)

Ця стаття захищає право власника на недоторканність інформації у системі. Власником інформаційної системи може бути будь-яка особа, яка правомірно користується послугами з обробки інформації як власник обчислювальної системи або як особа, яка набула права її використання. Злочинне діяння, відповідальність який передбачено ст. 272, полягає у неправомірному доступі до охоронюваної законом комп'ютерної інформації, який завжди має характер здійснення певних дій і може виражатися у проникненні в комп'ютерну систему шляхом використання спеціальних технічних або програмних засобів, що дозволяють подолати встановлені системою захисту; незаконного застосування діючих паролів або маскування під законного користувача для проникнення в комп'ютер, розкрадання носіїв інформації (за умови, що було вжито заходів їх охорони), якщо це призвело до знищення або блокування інформації. (Доступ вважається правомірним, якщо його дозволено правовласником, власником інформації чи системи.

Неправомірним є доступ, якщо особа не має права доступу, або має право на доступ, але здійснює її з порушенням встановленого порядку.) Для настання кримінальної відповідальності обов'язково має існувати причинний зв'язок між несанкціонованим доступом до інформації та настанням передбачених ст. 272 наслідків, тоді як випадковий тимчасовий збіг неправомірного доступу та збою в обчислювальній системі, що спричинив зазначені наслідки, не тягне за собою кримінальної відповідальності.

Неправомірний доступом до комп'ютерної інформації має здійснюватися навмисне, тобто. роблячи цей злочин, особа усвідомлює, що неправомірно вторгається в комп'ютерну систему, передбачає можливість чи неминучість зазначених у законі наслідків, бажає і свідомо допускає їх наступ або ставиться до них байдуже. Отже, із суб'єктивної сторони злочин за ст. 272 характеризується наявністю прямого чи непрямого наміру. Мотиви і цілі цього злочину можуть бути різними: корисливими, спрямованими заподіяння шкоди (з хуліганських, конкурентних чи інших спонукань) чи перевірку своїх професійних здібностей, та інших. Оскільки мотив і мета злочину у ст. 272 не враховуються, вона може застосовуватися до різноманітних комп'ютерних посягань. Ст. 272 КК складається із двох частин. У першій частині найбільш серйозне покарання злочинця полягає у позбавленні волі на строк до двох років. Частина друга вказує на ознаки, що підсилюють кримінальну відповідальність, скоєння злочину групою осіб або з використанням злочинцем свого службового становища, а також мають доступ до інформаційної системи, і допускає винесення вироку строком до п'яти років. При цьому немає значення місцезнаходження об'єкта злочину (наприклад, банку, до інформації якого здійснено неправомірний доступ у злочинних цілях), який може бути і закордонним.

За кримінальним законодавством суб'єктами комп'ютерних злочинів може лише особи, досягли 16-річного віку. Ст. 272 КК не регулює ситуації, коли неправомірний доступ до інформації відбувається через необережність, оскільки при розслідуванні обставин доступу часто дуже важко довести злочинний намір. Так, при переходах за посиланнями від одного комп'ютера до іншого в мережі Інтернет, що зв'язує мільйони комп'ютерів, можна легко потрапити в інформаційну зону якогось комп'ютера, що захищається, навіть не помічаючи цього (хоча метою можуть бути і злочинні посягання). Ст. 273 КК передбачає кримінальну відповідальність за створення, використання та розповсюдження шкідливих програм для комп'ютерів або модифікацію програмного забезпечення, що свідомо призводить до несанкціонованого знищення, блокування, модифікації, копіювання інформації або порушення роботи інформаційних систем. Стаття захищає права власника комп'ютерної системи на недоторканність інформації, що зберігається в ній. Шкідливими вважаються будь-які програми, спеціально розроблені порушення нормального функціонування інших комп'ютерних програм.

Під нормальним функціонуванням розуміється виконання операцій, котрим ці програми призначені і визначені у документації на програму. Найбільш поширені шкідливі програми - комп'ютерні віруси, логічні бомби, а також програми, відомі як «троянський кінь». Для притягнення до відповідальності за ст. необов'язково настання будь-яких небажаних наслідків для власника інформації, достатній сам факт створення шкідливих програм або внесення змін до вже існуючих програм, які свідомо призводять до наслідків, зазначених у статті. Використанням програм вважається їх випуск у світ, відтворення, поширення та інші дії щодо введення в обіг. Використання програм може здійснюватися шляхом запису на згадку про комп'ютера чи матеріальний носій, розповсюдження мережами чи іншою передачі іншим користувачам.

Кримінальна відповідальність за ст. 273 виникає вже внаслідок створення шкідливих програм, незалежно від їхнього фактичного використання. Навіть наявність вихідних текстів програм є основою притягнення до відповідальності. Виняток становить діяльність організацій, які розробляють засоби протидії шкідливим програмам та мають відповідні ліцензії. Стаття складається з двох частин, що відрізняються ознакою ставлення злочинця до дій. Ч. 1 передбачає злочини, скоєні навмисне, зі усвідомленням того, що створення, використання чи розповсюдження шкідливих програм свідомо має призвести до порушення недоторканності інформації. При цьому відповідальність настає незалежно від цілей та мотивів зазіхання, які можуть бути цілком позитивними (наприклад, охорона особистих прав громадян, боротьба з техногенними небезпеками, захист довкілля тощо). Максимальне покарання по першій частині – позбавлення волі на строк до трьох років. За ч. 2 додаткова кваліфікуюча ознака – настання тяжких наслідків з необережності. У цьому випадку особа усвідомлює, що створює, використовує або розповсюджує шкідливу програму або її носії та передбачає можливість настання серйозних наслідків, але без достатніх підстав розраховує їх запобігти, або не передбачає цих наслідків, хоча як висококваліфікований програміст міг і був зобов'язаний їх передбачити. Оскільки наслідки можуть бути дуже тяжкими (смерть чи шкода здоров'ю людини, небезпека військової чи іншої катастрофи, транспортні пригоди), максимальне покарання за ч. 2 – сім років позбавлення волі. Зазначимо, що в законі не йдеться про ступінь завданої шкоди на відміну від крадіжок, коли розрізняються просто крадіжка, крадіжка у великому розмірі та крадіжка в особливо великому розмірі. Тут встановлюється лише факт злочину, а розмір шкоди впливає лише на оцінку його тяжкості та міру відповідальності. Зрештою, ст. 274 КК встановлює відповідальність за порушення правил експлуатації комп'ютерів, комп'ютерних систем або мереж особою, яка має доступ до них, що спричинило знищення, блокування або модифікацію інформації, що охороняється законом, якщо це діяння завдало істотної шкоди. Ця стаття захищає інтереси власника комп'ютерної системи щодо її правильної експлуатації та поширюється лише на локальні обчислювальні мережі організацій. До глобальних обчислювальних мереж, наприклад таких, як Інтернет, ця стаття не застосовна.

Під інформацією, що охороняється законом, розуміється інформація, для якої в спеціальних законах встановлено режим її правового захисту. Між фактом порушення правил експлуатації і істотною шкодою, що настала, повинен бути обов'язково встановлений причинний зв'язок і повністю доведено, що шкідливі наслідки, що настали, є результатом саме порушення правил. Оцінку завданої шкоди встановлює суд, виходячи з обставин справи, причому вважається, що суттєва шкода менш значна, ніж тяжкі наслідки.

Суб'єкт цієї статті - особа, яка в силу своїх посадових обов'язків має доступ до комп'ютерної системи та зобов'язана дотримуватися встановлених для них технічних правил. Відповідно до ч. 1 статті він повинен здійснювати свої дії навмисне; усвідомлювати, що порушує правила експлуатації; передбачати можливість чи неминучість неправомірного на інформацію та заподіяння істотного шкоди, бажати чи свідомо допускати заподіяння такої шкоди чи ставитися до її наступу байдуже. Найсуворіше покарання у разі - позбавлення права обіймати певні посади чи займатися певної діяльністю терміном до п'яти, або обмеження волі терміном до двох років. ч. 2 ст. 274 передбачає відповідальність за ті ж дії, що не мали наміру, але спричинили по необережності тяжкі наслідки, наприклад за встановлення інфікованої програми без антивірусної перевірки, що спричинило серйозні наслідки (велика фінансова шкода, транспортні події, втрата важливих архівів, порушення життєзабезпечення у лікарні та ін.). Міра покарання за цей злочин встановлюється судом залежно від наслідків, максимальне покарання - позбавлення волі на строк до чотирьох років. Як видно, розглянуті статті КК не охоплюють усі види комп'ютерних злочинів, різноманітність яких збільшується разом із прогресом у галузі комп'ютерної техніки та її використанням.

Крім того, деякі формулювання статей допускають неоднозначне тлумачення, наприклад, у визначенні злісного наміру. Тому надалі можливе поповнення та удосконалення цих статей.

Висновок

Інформаційна безпека в умовах глобалізації та наростаючої відкритості країн відіграє найважливішу роль у реалізації життєво важливих інтересів особистості, суспільства та держави. Це повсюдно створення розвиненої інформаційної середовища. Саме через інформаційне середовище найчастіше в сучасних умовах реалізуються загрози національній безпеці Російської Федерації.

Інформаційна безпека особистості суспільства та держави може бути ефективно забезпечена лише системою заходів, що мають цілеспрямований та комплексний характер. p align="justify"> Особливе значення для формування та реалізації політики забезпечення інформаційної безпеки має грамотне використання політичного інструментарію. Однак у час відчувається недостатня наукове опрацювання питань, що стосуються визначення ролі політичного чинника у системі інформаційної безпеки, що багато в чому пов'язані з транзиторным станом російського нашого суспільства та потребами переосмислення цілої низки теоретичних і методологічних проблем.

Інформаційні фактори набувають все більшого значення в політичній, економічній, соціальній, військовій, духовній сферах життєдіяльності російського суспільства, а інформаційне середовище виступає системоутворюючим фактором національної безпеки, активно впливає на стан політичної, економічної, військової, духовної та інших складових загальної системи національної безпеки Російської Федерації . Водночас інформаційна сфера є самостійною сферою національної безпеки, в якій необхідно забезпечити захист інформаційних ресурсів, систем їх формування, поширення та використання, інформаційної інфраструктури, реалізацію прав на інформацію юридичних осіб та громадян.

Інформаційна безпека як самостійна галузь наукового пізнання базується на теорії безпеки, кібернетики та інформатики. Основними методами вивчення інформаційної безпеки нині найчастіше виступають спостереження (зокрема включене), експертна оцінка, соціологічні опитування громадської думки (зокрема інтерв'ювання), логічне та математичне моделювання. Для виявлення стану захищеності інтересів підприємств та організацій, що мають корпоративні інформаційні мережі, найбільш прийнятним є метод експертних оцінок.

Понятійний апарат інформаційної безпеки складають такі категорії як: "безпека", "національна безпека", "цікавість", "життєво важливий інтерес", "сфера життєдіяльності", "інформація", "інформаційне суспільство", "інформаційні ресурси", "захист" , "Політика забезпечення інформаційної безпеки" та ін.

Актуальним залишається завдання забезпечення національної безпеки Росії при невловимій передачі технологій. До сфери розвідок все більшою мірою залучаються питання новітніх технологій, фінансів, торгівлі, ресурсів та інші економічні сторони діяльності держави, доступ до яких відкривається у зв'язку з розвитком міжнародних інте1раційних процесів, широким впровадженням комп'ютеризації у ці сфери діяльності.

Особливе місце у законодавстві мають займати правовідносини, що виникають у процесі використання комп'ютерних систем та мереж. Необхідний державний механізм розслідування комп'ютерних злочинів та система підготовки кадрів для слідства та судочинства у справах, пов'язаних із комп'ютерною злочинністю, протиправним використанням Internet.

У забезпеченні інформаційної безпеки мають бути повніше задіяні ресурси громадянського суспільства. Очевидно, що держава сама не здатна впоратися в повному обсязі із завданням забезпечення інформаційної безпеки всіх суб'єктів інформаційних відносин. Якщо сьогодні відповідно до закону воно повністю відповідає лише за питання захисту державної таємниці, то в більшості інших випадків за невизначеності частки державної участі тягар забезпечення інформаційної безпеки лягає на плечі громадян та суспільства. Це відповідає конституційному принципу самозахисту своїх інтересів усіма способами, які не заборонені законом. Органи державної влади мають чітко визначити свої повноваження, виходячи із реальних можливостей та заявлених пріоритетів у забезпеченні інформаційної безпеки.

Список використаної літератури

1. Ю.І. Кудінов, Ф. Ф. Пащенко. Основи сучасної інформатики: Навчальний посібник. 2-ге вид., Випр. – СПб.: Видавництво «Лань», 2011. – 256 с.: іл. -- (Підручники для вузів. Спеціальна література).

2. Авер'янов Г.П., Дмитрієва В.В. СУЧАСНА ІНФОРМАТИКА: Навчальний посібник. М.: НІЯУ МІФІ, 2011. - 436 с.

3. Таганов, Л. С. Інформатика: навч. посібник / Л. С. Таганов, А. Г. Пімонов; Кузбас. держ. техн. ун-т. – Кемерово, 2010. – 330 с.

4. Вербенко, Борисе Володимировичу. Дисертація на здобуття наукового ступеня кандидата політичних наук

Практична робота № 1

«Аналіз ризиків інформаційної безпеки»

  1. Мета роботи

Ознайомитись з алгоритмами оцінки ризику інформаційної безпеки.

Ризик ІБ– потенційна можливість використання певної загрозою уразливостей активу або групи активів для заподіяння шкоди організації.

Вразливість- слабкість у системі захисту, що уможливлює реалізацію загрози.

Загроза ІБ- сукупність умов та факторів, які можуть спричинити порушення цілісності, доступності, конфіденційності інформації.

Інформаційний актив– це матеріальний чи нематеріальний об'єкт, який:

Є інформацією або містить інформацію,

Служить для обробки, зберігання або передачі інформації,

Має цінність для організації.

Завдання

1. Завантажте ГОСТ Р ИСО/МЕК ТО 13335-3-2007 «МЕТОДИ І ЗАСОБИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ. Частина 3 «Методи менеджменту безпеки інформаційних технологій»

2. Ознайомтеся з Додатками C, Dі ЕГОСТу.

3. Виберіть три різні інформаційні активи організації (див. варіант).

4. З Програми DДСТУ підберіть три конкретні вразливості системи захисту зазначених інформаційних активів.

5. Користуючись Додатком СДЕРЖСТАНДАРТ напишіть три загрози, реалізація яких можлива поки в системі не усунуті названі в пункті 4 вразливості.

6. Користуючись одним із методів (див. варіант) запропонованих у Додатку ЕГОСТу здійсніть оцінку ризиків інформаційної безпеки.

7. Оцінку цінності інформаційного активу проводити на підставі можливих втрат для організації у разі реалізації загрози.

1. Титульний лист

3. Завдання

4. Обґрунтуваннявибору інформаційних активів організації

5. Оцінка цінності інформаційних активів

6. Уразливості системи захисту інформації

7. Загрози ІБ

8. Оцінка ризиків

Варіанти

Варіант – номер за списком у журналі.

Номер варіанта Організація Метод оцінки ризику (див. Додаток Е ГОСТу)
Відділення комерційного банку
Поліклініка
Коледж
Офіс страхової компанії
Рекрутингова агенція
Інтернет магазин
Центр надання державних послуг
Відділення поліції
Аудиторська компанія
Дизайнерська фірма
Офіс інтернет-провайдера
Офіс адвоката
Компанія з розробки програмного забезпечення для сторонніх організацій
Агенство нерухомості
Туристична агенція
Офіс благодійного фонду
Видавництво
Консалтингова фірма
Рекламна агенція
Відділення податкової служби
Офіс нотаріуса
Бюро перекладу (документів)
Науково-проектне підприємство
Шлюбне агенство
Редакція газети
Готель
Святкове агентство
Міський архів
Диспетчерська служба таксі
Залізнична каса

Практична робота №2.

«Побудова концепції інформаційної безпеки підприємства»

  1. Мета роботи

Знайомство з основними принципами побудови концепції ІБ підприємства з урахуванням особливостей його інформаційної інфраструктури.

  1. Короткі теоретичні відомості

До початку створення систем інформаційної безпеки ряд вітчизняних нормативних документів (ГОСТ Р ІСО/МЕК 15408 ГОСТ Р ІСО/МЕК 27000 ГОСТ Р ІСО/МЕК 17799) та міжнародних стандартів (ISO 27001/17799) прямо вимагають розробки основоположних документів Концепція та політика інформаційної безпеки. Якщо Концепція ІБ загалом визначає, ЩОнеобхідно зробити для захисту інформації, то Політика деталізує положення Концепції, та каже ЯК, якими засобами та способами вони мають бути реалізовані.

Концепція інформаційної безпеки використовується для:

· прийняття обґрунтованих управлінських рішень щодо розробки заходів захисту інформації;

· Вироблення комплексу організаційно-технічних та технологічних заходів щодо виявлення загроз інформаційній безпеці та запобігання наслідкам їх реалізації;

· Координації діяльності підрозділів зі створення, розвитку та експлуатації інформаційної системи з дотриманням вимог забезпечення безпеки інформації;

· І, нарешті, для формування та реалізації єдиної політики в галузі забезпечення інформаційної безпеки .

Завдання

Використовуючи запропоновані зразки, розробити концепцію інформаційної безпеки компанії (див. варіант), що містить такі основні пункти (наведено зразковийплан, до якого у разі потреби можуть бути внесені зміни):

загальні положення

Призначення Концепції із забезпечення інформаційної безпеки.

1.2. Цілі системи інформаційної безпеки

1.3. Завдання системи інформаційної безпеки.

Проблемна ситуація у сфері інформаційної безпеки

2.1. Об'єкти інформаційної безпеки.

2.2. Визначення ймовірного порушника.

2.3. Опис особливостей (профілю) кожної із груп можливих порушників.

2.4. Основні види загроз інформаційній безпеці Підприємства.

Інформація - це відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх подання. Інформація зменшує ступінь невизначеності, неповноту знань про осіб, предмети, події тощо.

Захист інформації – це процес створення та використання в автоматизованих системах спеціальних механізмів, що підтримують встановлений статус її захищеності.

Нині загальної комп'ютеризації благополуччя і навіть життя багатьох залежить від забезпечення інформаційної безпеки безлічі комп'ютерних систем обробки інформації, і навіть контролю та управління різними об'єктами. До таких об'єктів (їх називають критичними) можна віднести системи телекомунікацій, банківські системи, атомні станції, системи управління повітряним та наземним транспортом, а також системи обробки та зберігання секретної та конфіденційної інформації.

Конфіденційна інформація - це суб'єктивно - визначувана характеристика чи властивість інформації, що вказує на необхідність введення обмежень на коло суб'єктів, що мають доступ до даної інформації, та забезпечувана здатністю системи зберігати зазначену інформацію в таємниці від суб'єктів, які не мають повноважень доступу до неї. Конфіденційна інформація, яка може представляти інтерес для конкурентів, повинна бути захищена. Приховування інформації мотивується не лише перед страхом витоку конфіденційних даних, а й спроби внести зміни до баз даних або робочої документації, що може призвести не лише до збитків, а й зупинити роботу підприємства.

Для нормального та безпечного функціонування систем необхідно підтримувати їхню безпеку та цілісність.

На сьогоднішній день сформульовано три базові принципи інформаційної безпеки, яка повинна забезпечувати:

цілісність даних - захист від збоїв, які ведуть до втрати інформації, і навіть неавторизованого створення чи знищення даних;

конфіденційність інформації;

Комп'ютери, часто об'їдені в мережу, можуть надавати доступ до колосальної кількості найрізноманітніших даних. Широкий розвиток комп'ютерних мереж, інтеграція їх з інформаційними системами загального користування, крім переваг, породжує нові загрози безпеці інформації.

Причини виникнення нових загроз характеризуються:

складністю та різновидом, що використовується програмного та апаратного забезпечення мереж;

великою кількістю вузлів мережі, що беруть участь в електронному обміні інформацією, їхньою територіальною розподіленістю та відсутністю можливості контролю всіх налаштувань;

доступністю інформації систем зовнішнім користувачам (клієнтам, партнерам та ін) через її розташування на фізично з'єднаних носіях.

Тому люди турбуються про безпеку інформації та наявність ризиків, пов'язаних з автоматизацією та наданням значно більшого доступу до конфіденційних, персональних чи інших критичних даних.

Електронні засоби зберігання навіть уразливіші, ніж паперові: розміщені на них можна і знищити, і скопіювати, і непомітно видозмінити.

Число комп'ютерних злочинів зростає – також збільшуються масштаби комп'ютерних зловживань. За оцінкою фахівців, збитки від комп'ютерних злочинів збільшуються на 35 відсотків на рік. Однією з причин є сума грошей, отримана в результаті злочину: у той час як збитки від середнього комп'ютерного злочину становлять 560 тисяч доларів, при пограбуванні банку - лише 19 тисяч доларів. За даними Міннесотського університету США, 93 відсотки компаній, які втратили доступ до своїх даних на термін більше 10 днів, залишили свій бізнес, причому половина з них заявила про свою неспроможність негайно.

Число службовців в організації, які мають доступ до комп'ютерного обладнання та інформаційної технології, постійно зростає. Доступ до інформації більше не обмежується лише вузьким колом осіб із верхнього керівництва організації. Чим більше людей отримують доступ до інформаційної технології та комп'ютерного обладнання, тим більше виникає можливостей для скоєння комп'ютерних злочинів.

Комп'ютерним злочинцем може бути будь-хто. І молодий хакер та службовець. Комп'ютерні злочини, скоєні службовцями, становлять 70 - 80 відсотків щорічного збитку, що з комп'ютерами.

Ознаки комп'ютерних злочинів:

Крадіжки елементів комп'ютерів;

Крадіжки програм;

Фізична руйнація обладнання;

Знищення даних чи програм.

Це лише очевидні ознаки, куди слід звернути увагу при виявленні комп'ютерних злочинів. Іноді ці ознаки свідчать, що злочин вже скоєно, або що не виконуються заходи захисту. Вони також свідчать про наявність вразливих місць і вказують, де знаходиться пролом у захисті.

Під інформаційною безпекою розуміється захищеність інформації та інфраструктури, що її підтримує, від будь-яких випадкових або зловмисних впливів, результатом яких може стати шкода самої інформації, її власникам або підтримуючій інфраструктурі. Завдання інформаційної безпеки зводяться до мінімізації збитків, а також до прогнозування та запобігання таким впливам.

Дії, які завдають шкоди інформаційній безпеці організації, можна розділити на кілька категорій.

  • 1. Дії, які здійснюються авторизованими користувачами
  • 1.1. Цілеспрямована крадіжка знищення даних на робочій станції чи сервері;
  • 1.2. Ушкодження даних користувачем внаслідок необережних дій.
  • 2. «Електронні» методи впливу, які здійснюють хакери
  • 2.1. Несанкціоноване проникнення в комп'ютерні мережі
  • 2.2. DOS - атаки

Метою несанкціонованого проникнення ззовні в мережу підприємства може бути завдання шкоди (знищення даних), крадіжка конфіденційної інформації та використання її в незаконних цілях, використання мережевої інфраструктури для організації атак на вузли третіх фірм, крадіжка коштів з рахунків тощо. Атака типу DOS (скор. від Denial of Service – «відмова в обслуговуванні») – це зовнішня атака на вузли мережі підприємства, що відповідають за її безпечну та ефективну роботу (файлові, поштові сервери). Зловмисники організують масоване відправлення пакетів даних на ці вузли, щоб викликати їхнє навантаження і, в результаті, на якийсь час вивести їх з ладу. Це, зазвичай, тягне у себе порушення у бізнес - процесах компанії - жертви, втрату клієнтів, збитки репутації тощо.

3. Комп'ютерні віруси - це різновид шкідливих програм, відмінністю яких є здатність до розмноження, пошкодження або повністю знищення даних.

Окрема категорія електронних методів впливу – комп'ютерні віруси та інші шкідливі програми. Вони є реальною небезпекою для сучасного бізнесу, що широко використовує комп'ютерні мережі, Інтернет та електронну пошту. Проникнення вірусу на вузли корпоративної мережі може призвести до порушення їхнього функціонування, втрат робочого часу, втрата даних, крадіжки конфіденційної інформації і навіть прямим розкраданням фінансових коштів. Вірусна програма, що проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль за діяльністю компанії.

4. Спам (англ. spam) - повідомлення, що масово розсилаються людям, які не дали згоду на їх отримання (ставиться до електронних листів).

Електронна пошта останнім часом стала головним каналом розповсюдження шкідливих програм;

Спам забирає багато часу на перегляд і подальше видалення повідомлень, викликає у співробітників почуття психологічного дискомфорту;

Як приватні особи, так і організації стають жертвами шахрайських схем, що реалізуються спамерами (часто подібні події потерпілі намагаються не розголошувати);

Разом зі спамом нерідко видаляється кореспонденція, що може призвести до втрати клієнтів, зриву контрактів та інших неприємних наслідків, небезпека втрати кореспонденції особливо зростає під час використання чорних списків RBL та інших «грубих» методів фільтрації спаму.

«Природні» погрози

На інформаційну безпеку компанії можуть впливати різноманітні зовнішні чинники: причиною втрати даних може стати неправильне зберігання, крадіжка комп'ютерів та носіїв, форс – мажорні обставини тощо.

Процес інформатизації суспільства поряд із позитивними наслідками має й низку негативних сторін. Щорічно зростає кількість злочинів, у яких об'єктом злочинних зазіхань є інформація, і навіть тих, де інформація своєю чергою служить засобом скоєння злочинів.

Основним законом Російської Федерації є Конституція, ухвалена 12 грудня 1993 року. Відповідно до статті 24 Конституції, органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані забезпечити кожному можливість ознайомлення з документами та матеріалами, які безпосередньо зачіпають його права та свободи, якщо інше не передбачено законом.

Стаття 23 Конституції гарантує право на особисту та сімейну таємницю, на таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень, стаття 29 – право вільно шукати, отримувати, передавати, виробляти та поширювати інформацію будь-яким законним способом. Сучасна інтерпретація цих положень включає забезпечення конфіденційності даних, у тому числі в процесі їх передачі комп'ютерними мережами, а також доступ до засобів захисту інформації.

Стаття 41 гарантує право на знання фактів та обставин, що загрожують життю та здоров'ю людей, стаття 42 - право на знання достовірної інформації про стан навколишнього середовища.

Зазначимо, що право на інформацію може реалізовуватись засобами паперових технологій, але в сучасних умовах найбільш практичним та зручним для громадян є створення відповідними законодавчими, виконавчими та судовими органами інформаційних серверів та підтримання доступності, актуальності та цілісності, представлених на них відомостей, тобто забезпечення їх (Серверів) інформаційної безпеки.

У вересні 2000 року Президент Російської Федерації В.В.Путін затвердив "Доктрину інформаційної безпеки". Яку роль вона відіграє у розвитку вітчизняних інформаційних технологій та засобів захисту інформації?

Інформаційні технології - галузь світового господарства, що бурхливо і динамічно розвивається. Обсяг ринку інформаційної продукції становить понад 2 трильйони доларів США, що можна порівняти з бізнесом у сферах палива та енергетики, автомобілебудування. Серйозну небезпеку для Росії є прагнення низки країн домінувати у світовому інформаційному просторі, витіснення Росії із внутрішнього та зовнішнього ринку інформаційних послуг, розробка низкою країн концепцій " інформаційних войн " . Такі концепції передбачають створення засобів впливу на інформаційні сфери інших країн світу, порушення нормального функціонування інформаційних та телекомунікаційних систем, а також збереження інформаційних ресурсів, отримання несанкціонованого доступу до них.

"Доктрина інформаційної безпеки" закладає засади інформаційної політики держави. З урахуванням існуючих загроз для захисту національних інтересів Росії держава планує активно розвивати вітчизняну індустрію засобів інформації, комунікації та зв'язку з наступним виходом продукції на світовий ринок, забезпечувати гарантії безпеки для національних інформаційних та телекомунікаційних систем та захист державних секретів за допомогою відповідних технічних засобів. Одночасно передбачається підвищувати ефективність інформаційного забезпечення діяльності держави.


Ухвалення цього документа ставить до порядку денного і питання необхідності вдосконалення російського законодавства. Наприклад, йдеться про прийняття законів, що стосуються припинення комп'ютерної злочинності.

Перерахуємо деякі основні закони та нормативні акти Російської Федерації в галузі інформаційної безпеки в їх першій редакції:

1. Закон РФ "Про державну таємницю" від 21.7.93 р. № 5485-1.

2. Закон РФ "Про комерційну таємницю" (версія 28.12.94 р.).

3. Закон РФ "Про інформацію, інформатизації та захист інформації" від 25.1.95 р.

4. Закон РФ "Про персональні дані" (версія 20.02.95 р.).

5. Закон РФ "Про федеральні органи урядового зв'язку та інформації" від 19.2.93 р. № 4524-1.

6. Положення про державну систему захисту інформації в Російській Федерації від ІТП та від витоку по технічних каналах. (Постанова Уряду РФ від 15.9.93 р. № 912-51).

7. Положення про Державну технічну комісію при Президентові Російської Федерації (Гостехкомісії Росії). Розпорядження Президента Російської Федерації від 28.12.92 р. № 829-рпс.

В даний час практично всі ці закони та положення уточнені та доповнені відповідними розділами, параграфами та поправками, що відображають реалія поточної ситуації.

У Цивільному кодексі Російської Федерації (редакція від 15 травня 2001 року) фігурують такі поняття, як банківська, комерційна та службова таємниця. Відповідно до статті 139, "інформація становить службову чи комерційну таємницю у разі, коли інформація має дійсну чи потенційну комерційну цінність через невідомість її третіх осіб, до неї немає вільного доступу на законній підставі, і власник інформації вживає заходів до охорони її конфіденційності". Це передбачає, як мінімум, компетентність у питаннях ІБ та наявність доступних (і законних) засобів забезпечення конфіденційності.

У Кримінальному кодексі Російської Федерації (редакція від 14 березня 2002 року) глава 28 "Злочини у сфері комп'ютерної інформації" містить три відповідні статті:

  • стаття 272 "Неправомірний доступ до комп'ютерної інформації";
  • стаття 273 "Створення, використання та розповсюдження шкідливих програм для ЕОМ";
  • стаття 274 "Порушення правил експлуатації ЕОМ, системи ЕОМ або їхньої мережі".

Перша із зазначених статей має на увазі посягання на конфіденційність, друга визначає дії зі шкідливим ПЗ, третя - з порушеннями доступності та цілісності, що спричинили знищення, блокування або модифікацію інформації, що охороняється законом. У світлі бурхливого розвитку локальних, регіональних, національних та всесвітньої мереж включення до сфери дії КК РФ питань доступності інформаційних послуг є дуже своєчасним.

Стаття 138 КК РФ, захищаючи конфіденційність персональних даних, передбачає покарання порушення таємниці листування, телефонних переговорів, поштових, телеграфних чи інших повідомлень. Аналогічну роль банківської та комерційної таємниці грає стаття 183 КК РФ.

Інтереси держави щодо забезпечення конфіденційності інформації знайшли найповніше вираз у Законі " Про державну таємницю " (зі змінами і доповненнями від 6 жовтня 1997 року). У ньому державна таємниця визначена як захищаються державою відомості у сфері її військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Російської Федерації. Саме там дається визначення засобів захисту. Відповідно до цього Закону, це технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять державну таємницю; засоби, у яких вони реалізовані, і навіть засоби контролю ефективності захисту.

він "Про інформацію, інформатизацію та захист інформації"

Основним серед російських законів, присвячених питанням інформаційної безпеки, слід вважати закон "Про інформацію, інформатизації та захист інформації" від 20 лютого 1995 (прийнятий Державною Думою РФ 25 січня 1995; актуальна версія закону від 21.07.2014). У ньому даються основні визначення та намічаються напрями розвитку законодавства у цій галузі.

Наведемо приклади деяких визначень:

  • інформація - відомості про осіб, предмети, факти, події, явища та процеси незалежно від форми їх подання;
  • документована інформація (документ) – зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати;
  • інформаційні процеси - процеси збирання, обробки, накопичення, зберігання, пошуку та розповсюдження інформації;
  • інформаційна система - організаційно впорядкована сукупність документів (масивів документів) та інформаційних технологій, у тому числі з використанням засобів обчислювальної техніки та зв'язку, що реалізують інформаційні процеси;
  • інформаційні ресурси - окремі документи та окремі масиви документів, документи та масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, інших інформаційних системах);
  • інформація про громадян (персональні дані) - відомості про факти, події та обставини життя громадянина, що дозволяють ідентифікувати його особу;
  • конфіденційна інформація - документована інформація, доступ до якої обмежується відповідно до законодавства України;
  • Користувач (споживач) інформації - суб'єкт, який звертається до інформаційної системи чи посередника для отримання необхідної йому інформації та користується нею.

Закон виділяє такі цілі захисту:

  • запобігання витоку, розкрадання, втрати, спотворення, підробки інформації;
  • запобігання загрозам безпеці особистості, суспільства, держави;
  • запобігання несанкціонованим діям зі знищення, модифікації, спотворення, копіювання, блокування інформації;
  • запобігання іншим формам незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності;
  • захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, що є в інформаційних системах;
  • збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства;
  • забезпечення прав суб'єктів в інформаційних процесах та при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення.

Відповідно до закону "Захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачу та іншій особі". Далі, "Режим захисту інформації встановлюється:

  • щодо відомостей, що віднесені до державної таємниці, - уповноваженими органами на підставі Закону Російської Федерації "Про державну таємницю";
  • щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі цього Закону;
  • щодо персональних даних – Федеральним законом".

Звернемо увагу, що захист державної таємниці та персональних даних бере на себе держава; за іншу конфіденційну інформацію відповідають її власники.

Як основний інструмент захисту інформації закон пропонує потужні універсальні засоби - ліцензування та сертифікацію (стаття 19):

  1. Інформаційні системи, бази та банки даних, призначені для інформаційного обслуговування громадян та організацій, підлягають сертифікації в порядку, встановленому Законом України "Про сертифікацію продукції та послуг".
  2. Інформаційні системи органів державної влади Російської Федерації та органів державної влади суб'єктів Російської Федерації, інших державних органів, організацій, що обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих систем підлягають обов'язковій сертифікації. Порядок сертифікації визначається законодавством Російської Федерації.
  3. Організації, які виконують роботи в галузі проектування, виробництва засобів захисту інформації та обробки персональних даних, отримують ліцензії на цей вид діяльності. Порядок ліцензування визначається законодавством Російської Федерації.
  4. Інтереси споживача інформації під час використання імпортної продукції інформаційних системах захищаються митними органами Російської Федерації з урахуванням міжнародної системи сертифікації.

Ще кілька пунктів закону (стаття 22, пункти 2-5):

  1. Власник документів, масиву документів, інформаційних систем забезпечує рівень захисту інформації відповідно до законодавства Російської Федерації.
  2. Ризик, пов'язаний із використанням не сертифікованих інформаційних систем та засобів їх забезпечення, лежить на власнику (власнику) цих систем та засобів. Ризик, пов'язаний з використанням інформації, отриманої з несертифікованої системи, лежить на споживачі інформації.
  3. Власник документів, масиву документів, інформаційних систем може звертатися до організацій, які здійснюють сертифікацію засобів захисту інформаційних систем та інформаційних ресурсів, для проведення аналізу достатності заходів захисту ресурсів власника та систем та отримання консультацій.
  4. Власник документів, масиву документів, інформаційних систем зобов'язаний сповіщати власника інформаційних ресурсів та (або) інформаційних систем про всі факти порушення режиму захисту інформації.

Стаття 23 "Захист прав суб'єктів у сфері інформаційних процесів та інформатизації" (пункти 2-4):

  1. Захист прав суб'єктів у зазначеній сфері здійснюється судом, арбітражним судом, третейським судом з урахуванням специфіки правопорушень та завданих збитків. Дуже важливими є пункти статті 5, які стосуються юридичної сили електронного документа та електронного цифрового підпису.
  2. Юридична сила документа, що зберігається, обробляється та передається за допомогою автоматизованих інформаційних та телекомунікаційних систем, може підтверджуватись електронним цифровим підписом. Юридична сила електронного цифрового підпису визнається за наявності в автоматизованій інформаційній системі програмно-технічних засобів, що забезпечують ідентифікацію підпису, та дотримання встановленого режиму їх використання.
  3. Право засвідчувати ідентичність електронного цифрового підпису здійснюється на підставі ліцензії. Порядок видачі ліцензій визначається законодавством Російської Федерації.

Такі найважливіші, на наш погляд, положення Закону "Про інформацію, інформатизацію та захист інформації", що стосуються інформації, що охороняється, та інформаційної безпеки.

    Сучасний стан інформаційної безпеки у Росії

    Основні терміни та визначення з галузі інформаційної безпеки.

    Принципи побудови та вимоги до системи інформаційної безпеки об'єкта.

    Послідовність дій розробки системи забезпечення інформаційної безпеки об'єкта.

VI. Міжнародний стандарт "Загальні критерії оцінки безпеки інформаційних технологій"

    Порядок та методичні вказівки щодо формування переліку відомостей, що становлять службову або комерційну таємницю організації

    Проблеми інформаційної безпеки та шляхи їх вирішення

Жодна сфера життя цивілізованої держави не може ефективно працювати без розвиненої інформаційної інфраструктури. Безпека інформації висувається першому плані і стає елементом національної безпеки. Захист інформації, безперечно, має розглядатися як одне з пріоритетних державних завдань.

Перетворення, що відбуваються в Росії, безпосередньо впливають на її інформаційну безпеку. Виникають нові фактори, які потрібно враховувати при оцінці стану інформаційної безпеки та визначенні ключових проблем у цій галузі.

Усю сукупність факторів можна поділити на політичні, економічні та організаційно-технічні.

До політичним факторамслід віднести:

    становлення нової російської державності з урахуванням принципів демократії, законності, інформаційної відкритості;

    зміна геополітичної обстановки внаслідок фундаментальних змін у різних регіонах світу, зведення до мінімуму ймовірності світової ядерної та звичайної воєн;

    інформаційна експансія США та інших розвинених країн, які здійснюють глобальний моніторинг світових політичних, економічних, військових, екологічних та інших процесів, що поширюють інформацію з метою отримання односторонніх переваг;

    руйнування раніше існуючої командно-адміністративної системи державного управління, а також системи забезпечення безпеки країни, що склалася;

    порушення інформаційних зв'язків унаслідок утворення незалежних держав на території колишнього СРСР;

    прагнення Росії до більш тісної співпраці із зарубіжними країнами у процесі проведення реформ на основі максимальної відкритості сторін;

    низька загальна правова та інформаційна культура в російському суспільстві.

Серед економічних факторівнайбільш суттєвими є:

    перехід Росії на ринкові відносини в економіці, поява безлічі вітчизняних та зарубіжних комерційних структур - виробників та споживачів інформації, засобів інформатизації та захисту інформації, включення інформаційної продукції до системи товарних відносин;

    критичний стан галузей промисловості, які виробляють засоби інформатизації та захисту інформації;

    розширення кооперація із зарубіжними країнами у розвитку інформаційної інфраструктури Росії.

З організаційно-технічнихфакторами визначальними є:

    недостатня нормативно-правова база інформаційних відносин, у тому числі у сфері забезпечення інформаційної безпеки;

    слабке регулювання державою процесів функціонування та розвитку ринку засобів інформатизації, інформаційних продуктів та послуг у Росії;

    широке використання у сфері державного управління та кредитно-фінансової сфери незахищених від витоку інформації імпортних технічних та програмних засобів для зберігання, обробки та передачі інформації;

    зростання обсягів інформації, що передається по відкритих каналах зв'язку, у тому числі по мережах передачі даних та міжмашинного обміну;

    загострення криміногенної обстановки, зростання кількості комп'ютерних злочинів, особливо у кредитно-фінансовій сфері.

Оцінка стану інформаційної безпеки та визначення ключових проблем у цій галузі мають базуватися на аналізі джерел загроз.

Джерела загроз можна розділити на зовнішні та внутрішні.

Дозовнішнім джереламвідносяться:

    недружня політика іноземних держав у галузі глобального інформаційного моніторингу, поширення інформації та нових інформаційних технологій;

    діяльність іноземних розвідувальних та спеціальних служб;

    діяльність іноземних політичних та економічних структур, спрямована проти інтересів Російської держави;

    злочинні дії міжнародних груп, формувань та окремих осіб;

    стихійні лиха та катастрофи.

Внутрішніми джереламизагроз є:

    протизаконна діяльність політичних та економічних структур у галузі формування, поширення та використання інформації;

    неправомірні дії державних структур, що призводять до порушення законних прав громадян та організацій в інформаційній сфері;

    порушення встановлених регламентів збору, обробки та передачі інформації;

    навмисні дії та ненавмисні помилки персоналу інформаційних систем;

    відмови технічних засобів та збої програмного забезпечення в інформаційних та телекомунікаційних системах.

При цьому необхідно розуміти, що ці загрози нині мають не умоглядний характер, а кожній з них відповідають цілеспрямовані дії конкретних носіїв ворожих намірів(починаючи з іноземних розвідувальних служб та закінчуючи кримінальними угрупованнями). В результаті цих дій може бути завдано серйозної шкоди життєво важливим інтересам Російської Федерації в політичній, економічній, оборонній та інших сферах діяльності держави або завдано суттєвої соціально-економічної шкоди суспільству та окремим громадянам.