IX Международная студенческая научная конференция Студенческий научный форум - 2017

Информационные технологии активно развивались последнее время и развиваются сейчас не менее стремительно, всё больше проникая во все сферы жизни общества. Поэтому, острее становится и вопрос информационной безопасности. Ведь недаром было сказано, что «кто владеет информацией, тот владеет миром». С появлением новых угроз, совершенствования методов несанкционированного доступа к данным, обеспечение безопасности информации постоянно требует пристальнейшего внимания.

Разработки первых отечественных средств защиты информации (СЗИ) для коммерческого сектора, не обременённого требованиями по защите гостайны, показали состоятельность данного направления бизнеса: спрос на российские СЗИ стал неуклонно расти вместе с ростом ИКТ-рынка в целом. Глубокое проникновение ИКТ в банковский сектор, развитие корпоративных информационных систем крупного бизнеса и появление первых государственных информационных систем национального масштаба (в налоговых органах, на таможне, в пенсионном фонде и пр.) потребовали принятия адекватных мер по защите накапливаемых в этих системах данных от несанкционированного доступа.

Вместе с тем с самого зарождения рынка ИБ, отмечают наши эксперты, большое влияние на его развитие оказывает постоянное совершенствование отечественной нормативной базы. В частности, на рост рынка СЗИ и ИБ-услуг в России серьёзно повлиял закон "Об информации, информационных технологиях и о защите информации»(2006), Доктрина информационной безопасности РФ (2000), закон "О персональных данных" (2006)[2]. К числу важнейших для направления ИБ нормативных инициатив заместитель генерального директора по производственной деятельности компании "Элвис Плюс" Сергей Панов относит также федеральный закон "Об электронной подписи"; разработанные Гостехкомиссией при Президенте РФ (в настоящее время ФСТЭК РФ) "Руководящие документы", регламентирующие вопросы организации и защиты информационных технологий и работу системы сертификации СЗИ; изданные ФАПСИ нормативные документы для государственных и коммерческих предприятий, регулирующие вопросы криптографической защиты информации; определение порядка лицензирования деятельности по защите информации; принятие ГОСТов на основные элементы криптографической защиты (шифрование, хэширование, электронную цифровую подпись).

По мнению директора по информационной безопасности корпорации Microsoft в России Владимира Мамыкина, никаких принципиальных отличий в развитии российского рынка ИБ от аналогичных рынков в других странах нет. При этом как одну из главных тенденций он отмечает встраивание СЗИ в основные массовые ИКТ-продукты. Например, покупая операционную систему 15 лет назад, нужно было отдельно докупать к ней антивирус, межсетевой экран, средства шифрования дисков и другие СЗИ. Однако крупные компьютерные компании, приобретя за прошедшие с тех пор годы многие известные (и неизвестные) специализировавшиеся в области ИБ фирмы, начали встраивать их ИБ-разработки в собственные продукты. И теперь основные средства безопасности потребители получают сразу при покупке операционных систем и других платформенных продуктов. Таким образом, рынок ИБ сегодня — это рынок не только тех, кто продаёт ИБ-решения, но и тех, кто распространяет средства ИБ в своих продуктах бесплатно.

Современный рынок средств защиты информации можно условно разделить на две группы:

средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;

средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ, а также документа

СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и некоторых международных стандартов, главным образом ISO 17799: 2005.

Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры внутренней сети, а также проведение анализа защищенности интернет-узла, использование средств антивирусной защиты и централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К[3].

Автоматизированные системы (АС) организации должны обеспечивать защиту информации от несанкционированного доступа (НСД) по классу «1Г» в соответствии с Руководящим документом Гостехкомиссии РФ «РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».

Средства вычислительной техники и программные средства АС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».

Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.

Информационные системы должны удовлетворять требованиям ГОСТ ИСО/МЭК 15408 по защищенности информационых систем в рамках заданных профилей защиты.

Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей(VirtualPrivatNetwork, VPN), должны быть легитимны.

Обязательным является использование средств электронно-цифровой подписи (ЭЦП) для подтверждения подлинности документов.

Для использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей, средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).

Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований информационной безопасности.

Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности. Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства, например средства защиты от несанкционированного доступа, межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и пр[4].

В частности, для защиты информации от несанкционированного доступа рекомендуется использовать аппаратно-программные средства семейства SecretNet («Информзащита»), семейства DallasLock («Конфидент»), семейства «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены (Aladdin) и пр. Для защиты информации, передаваемой по открытым каналам связи, рекомендованы аппаратно-программные межсетевые экраны с функциями организации VPN, например Firewall-1 (CheckPoint), «Застава» («Элвис+»), VipNet («Инфотекс»), «Континент» («Информзащита»), ФПСУ-IP (АМИКОН) и др[1].

По прогнозам экспертов, основные угрозы информационной безопасности в ближайшие годы будут связаны с ростом таргетированных (целенаправленных), мобильных атак и развитием Интернета вещей (InternetofThings)[1]. По мнению аналитиков IDC, к 2020 году 20% объема мирового рынка ИБ будет приходиться на средства, защищающие устройства, оборудование и объекты IoT[1]. Также будет быстро расти направление ThreatIntelligence - централизованные решения сбора и аналитики данных для обеспечения защиты в реальном времени. Такие средства через пять лет обеспечат в десять раз более эффективную защиту, чем та, что существует сегодня.

Список использованной литературы

1. Информационная безопасность(рынок_России),[Электронный ресурс]: http://www.tadviser.ru/index.php (18.12.2016)

2. ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]:.http://www.consultant.ru/

3. Защита компьютерной информации. Эффективные методы и средства, [Электронный ресурс]: http://ru.wikipedia.org/wiki/

4. Андреева И.А. Информационный бизнес и Интернет // ИРР, N5, 2012

Код для цитирования: Скопировать