Содержание
1. Виды и содержание угроз информационной безопасности 3
2. Практическая часть 16
Список используемой литературы 24
1. Виды и содержание угроз информационной безопасности
В настоящее время нет нужды доказывать, что идущие процессы стремительной информатизации всех направлений деятельности современного мирового сообщества объективно приводят к действительно революционным преобразованиям в жизни человечества. Различным аспектам этих многоплановых и во многом трудноформализуемых явлений посвящено большое количество работ, причем значительная часть из них уделена вопросам информационной безопасности. Разумеется, без такого всестороннего и углубленного анализа сложных явлений поиск истины невозможен, однако естественным негативным следствием этого огромного числа публикаций является то, что со временем изначальный смысл и цель исследований несколько затираются, а неумеренное употребление термина «информационная революция», как было точно подмечено в [1, с. 88], вообще «порождает инфляцию исходного понятия».
В этой связи особое внимание привлекает ряд работ глубинного смысла некоторых категорий. Ни в коей мере не претендуя на полноту освещения вопроса, авторы настоящей статьи тем не менее попытались с таких же общих позиций взглянуть на проблемы правового обеспечения информационной безопасности, то есть на те области человеческой деятельности, в которых пересекаются сферы «ответственности» информатизации, безопасности и права. При этом под информационным процессом будем понимать все действия, так или иначе связанные с преобразованием информации в жизнедеятельности такого активного субъекта: получение им сигналов из внешнего мира, выделение из них информации (то есть интерпретацию сигналов в некоторые данные, имеющие для него содержательное значение), хранение и обработку накапливаемой информации, принятие на основе новых знаний об окружающем мире решений о своих действиях, то есть воплощение их в действительность. Именно в результате таких преобразований актуализируются основные качественные характеристики информации, наиболее важными из которых в практическом плане являются ценность, достоверность и своевременность.
Однако на каждом из этапов преобразование информации проходит в условиях действия различных факторов, стремящихся нарушить естественное, то есть бесконфликтное течение информационных процессов. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности.
Известно достаточно большое количество определений угроз информационной безопасности, которые, несмотря на отличия в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия или бездействия), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.
Остановимся на последнем более подробно. Практически все исследователи, раскрывая виды возможных нарушений основных свойств информации, приводят один и тот же перечень: к угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации; к угрозам доступности – блокирование информации; к угрозам целостности – модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.
Традиция выделять именно упомянутые три вида угроз безопасности информации, по-видимому, восходит к принятым в 1983 году «Критериям оценки компьютерных систем Министерства обороны США», более известным как «Оранжевая книга». Данный подход полностью сохранился и в Международном стандарте ИСО/МЭК 15408-99 (исторически сложившееся название – «Общие критерии»), и в его Российском аналоге ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий».
Данные нормативные документы, как следует из их направленности, ориентированы в основном на компьютерные системы обработки информации. Принципиальной особенностью таких систем является то, что в них субъект отстраняется от процесса обработки информации и неявным образом делегирует свои полномочия по отдельным составляющим рассмотренного выше информационного процесса определенной аппаратно-программной среде, «которая обладает некоторой свободой в своих действиях и совсем не обязательно делает то, что хочет или предполагает пользователь» [4, с. 153].
Можно допустить, что для такого рода компьютерных систем известная классификация угроз информационной безопасности является исчерпывающей и удовлетворяющей практические потребности на разумную перспективу. Вместе с тем, в общем случае необходимость «раскладывания» конкретных примеров отрицательного воздействия внешних факторов на информационный процесс некоторого субъекта всего лишь по трем «делам» (конфиденциальность-доступность-целостность) может вызывать значительные проблемы. И вопрос здесь не столько в необходимости учета особенностей различных источников угроз безопасности (антропогенные – преднамеренные и случайные, техногенные, природные) [5, с. 166], сколько в трудностях корректной правовой оценки соответствующих явлений.
За противоправные действия виновные лица могут нести гражданско-правовую, административную, уголовную и иную ответственность. При этом наибольшая степень наказания личности нарушителя обеспечивается при наличии уголовных санкций, когда правонарушения в зависимости от их общественной значимости, массовости, типичности и устойчивости проявления переводятся (криминализируются) в разряд преступлений [1, с. 80].
Вместе с тем, в Главе 28 Уголовного кодекса РФ предусмотрена ответственность только за некоторые правонарушения в информационной сфере: ст. 272 – неправомерный доступ к компьютерной информации; ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ; ст. 274 – нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Ответственность за правонарушения в этой области предусмотрены и некоторыми другими статьями УК РФ, но их очень мало. Безусловно, такое нормативно-правовое регулирование в рамках действующего законодательства всего множества угроз в информационной сфере