Les mesures de protection prises doivent être proportionnées à la probabilité que ce type de menace se produise et aux dommages potentiels qui pourraient être causés si la menace se matérialisait (y compris le coût de la protection contre elle).
Il convient de garder à l'esprit que de nombreuses mesures de protection nécessitent des ressources informatiques assez importantes, ce qui à son tour affecte considérablement le processus de traitement de l'information. Par conséquent, l'approche moderne pour résoudre ce problème consiste à appliquer les principes de gestion situationnelle de la sécurité des ressources d'information dans l'ACS. L'essence de cette approche est que le niveau requis de sécurité de l'information est établi en fonction de la situation qui détermine la relation entre la valeur de l'information traitée, les coûts (baisse des performances de l'ACS, consommation supplémentaire de RAM, etc.), qui sont nécessaires pour atteindre ce niveau, et les éventuelles pertes totales (matérielles, morales, etc.) dues à la déformation et à l'utilisation non autorisée des informations.
Les caractéristiques nécessaires de la protection des ressources informationnelles sont déterminées au cours de la planification situationnelle lors de la préparation directe du processus technologique de traitement de l'information protégée, en tenant compte de la situation actuelle, ainsi que (dans un volume réduit) pendant le processus de traitement . Lors du choix des mesures de protection, il faut tenir compte non seulement des coûts directs d'achat d'équipement et de programmes, mais également des coûts d'introduction de nouveaux articles, de formation et de recyclage du personnel. Une circonstance importante est la compatibilité du nouvel outil avec la structure matérielle et logicielle existante de l'objet.
L'expérience étrangère dans le domaine de la protection de la propriété intellectuelle et l'expérience nationale dans la protection des secrets d'État montrent que seule une protection complète peut être efficace, combinant des domaines de protection tels que le droit, l'organisation et l'ingénierie.
Direction juridique prévoit la formation d'un ensemble d'actes législatifs, de documents réglementaires, de règlements, d'instructions, de lignes directrices, dont les exigences sont obligatoires dans le cadre de leurs activités dans le système de sécurité de l'information.
Orientation organisationnelle- il s'agit de la réglementation des activités de production et de la relation des artistes interprètes ou exécutants sur une base réglementaire de telle sorte que la divulgation, les fuites et l'accès non autorisé à des informations confidentielles deviennent impossibles ou considérablement entravés par des mesures organisationnelles.
Selon les experts, les mesures organisationnelles jouent un rôle important dans la création d'un mécanisme fiable de protection des informations, car la possibilité d'une utilisation non autorisée d'informations confidentielles est en grande partie due non pas à des aspects techniques, mais à des actions malveillantes, à la négligence, à la négligence et à la négligence des utilisateurs ou à la sécurité. personnel.
Les activités organisationnelles comprennent :
Mesures réalisées dans la conception, la construction et l'équipement des bâtiments et locaux de bureaux et industriels ;
Activités menées dans la sélection du personnel ;
Organisation et maintien d'un contrôle d'accès fiable, protection des locaux et du territoire, contrôle des visiteurs ;
Organisation du stockage et de l'utilisation des documents et supports d'informations confidentielles ;
Organisation de la protection de l'information;
Organisation de formations régulières pour les salariés.
L'un des principaux composants du support organisationnel de la sécurité de l'information de l'entreprise est le Service de sécurité de l'information (ISS - l'organe de gestion du système de sécurité de l'information). L'efficacité des mesures de protection des informations dépend en grande partie de la préparation professionnelle du personnel de sécurité de l'information, de la disponibilité d'outils modernes de gestion de la sécurité dans leur arsenal. La structure, le nombre et la composition de ses effectifs sont déterminés par les besoins réels de l'entreprise, le degré de confidentialité de ses informations et l'état général de sécurité.
L'objectif principal du fonctionnement de l'ISS, en utilisant des mesures organisationnelles et des logiciels et du matériel, est d'éviter ou au moins de minimiser la possibilité de violer la politique de sécurité, dans des cas extrêmes, de constater et d'éliminer les conséquences de la violation à temps.
Pour assurer le bon fonctionnement de la NIB, il est nécessaire de déterminer ses droits et obligations, ainsi que les règles d'interaction avec les autres départements sur la protection des informations de l'installation. Le numéro du service doit être suffisant pour remplir toutes les fonctions qui lui sont assignées. Il est souhaitable que le personnel du service n'ait pas de responsabilités liées à l'exploitation de l'objet protégé. Le service de sécurité de l'information doit être pourvu de toutes les conditions nécessaires à l'exercice de ses fonctions.
Cœur ingénierie et direction technique sont des moyens logiciels et matériels de protection de l'information, qui comprennent l'ingénierie mécanique, électromécanique, électronique, optique, laser, radio et radio, radar et autres dispositifs, systèmes et structures conçus pour assurer la sécurité et la protection de l'information.
Un logiciel de sécurité de l'information est compris comme un ensemble de programmes spéciaux qui mettent en œuvre les fonctions de sécurité de l'information et le mode de fonctionnement.
L'ensemble constitué de mesures juridiques, organisationnelles, d'ingénierie et techniques aboutit à une politique de sécurité appropriée.
La politique de sécurité définit l'apparence du système de protection de l'information sous la forme d'un ensemble de normes juridiques, de mesures organisationnelles (légales), d'un ensemble d'outils logiciels et matériels et de solutions procédurales visant à contrer les menaces pour exclure ou minimiser les conséquences possibles de la manifestation des influences informationnelles. Après l'adoption de l'une ou l'autre version de la politique de sécurité, il est nécessaire d'évaluer le niveau de sécurité du système d'information. Naturellement, l'évaluation de la sécurité se fait sur la base d'un ensemble d'indicateurs dont les principaux sont le coût, l'efficacité et la faisabilité.
L'évaluation des options pour la construction d'un système de sécurité de l'information est une tâche plutôt compliquée qui nécessite l'utilisation de méthodes mathématiques modernes pour l'évaluation de l'efficacité multi-paramètres. Il s'agit notamment de : la méthode d'analyse des hiérarchies, les méthodes expertes, la méthode des concessions successives, et bien d'autres.
Lorsque les mesures envisagées sont prises, il est nécessaire de vérifier leur efficacité, c'est-à-dire de s'assurer que les risques résiduels sont devenus acceptables. Ce n'est qu'alors que la date de la prochaine réévaluation peut être fixée. Dans le cas contraire, vous devrez analyser les erreurs commises et relancer l'analyse de vulnérabilité en tenant compte des évolutions du système de sécurité.
Le scénario possible formé des actions du contrevenant nécessite de vérifier le système de protection de l'information. Cette vérification est appelée "test d'intrusion". L'objectif est de fournir l'assurance qu'il n'existe aucun moyen facile pour un utilisateur non autorisé de contourner les mécanismes de sécurité.
L'un des moyens possibles d'attester de la sécurité d'un système est d'inviter des pirates informatiques à cracker sans préavis au personnel du réseau. Pour cela, un groupe de deux ou trois personnes avec une haute formation professionnelle est alloué. Les pirates disposent d'un système automatisé dans une version protégée, et le groupe essaie depuis 1 à 3 mois de trouver des vulnérabilités et de développer des outils de test basés sur celles-ci pour contourner les mécanismes de protection. Les pirates informatiques soumettent un rapport confidentiel sur les résultats de leur travail avec une évaluation du niveau de disponibilité des informations et des recommandations pour améliorer la protection.
Parallèlement à cette méthode, des outils de test de logiciels sont utilisés.
À l'étape élaboration d'un plan de protection conformément à la politique de sécurité choisie, un plan pour sa mise en œuvre est élaboré. Un plan de sécurité est un document qui applique le système de sécurité de l'information, qui est approuvé par le chef de l'organisation. La planification est associée non seulement à la meilleure utilisation de toutes les opportunités qui s'offrent à l'entreprise, y compris les ressources allouées, mais également à la prévention des actions erronées qui pourraient conduire à une diminution de l'efficacité des mesures prises pour protéger les informations.
Le plan de sécurité des informations du site doit inclure :
Description du système protégé (les principales caractéristiques de l'objet protégé : la finalité de l'objet, la liste des tâches à résoudre, la configuration, les caractéristiques et l'emplacement du matériel et des logiciels, une liste de catégories d'informations (packages, fichiers, ensembles et bases de données dans lesquelles elles sont contenues) sous réserve de protection, et les exigences pour assurer l'accès, la confidentialité, l'intégrité de ces catégories d'informations, une liste d'utilisateurs et leur autorité pour accéder aux ressources du système, etc.) ;
Le but de protéger le système et les moyens d'assurer la sécurité du système automatisé et des informations qui y circulent ;
La liste des menaces importantes pour la sécurité du système automatisé, contre lesquelles une protection est requise, et les manières les plus probables de causer des dommages ;
Politique de sécurité de l'information ;
Plan d'allocation des fonds et schéma fonctionnel du système de sécurité de l'information de l'établissement ;
Spécification des outils de sécurité de l'information et estimation des coûts de leur mise en œuvre ;
Calendrier des mesures organisationnelles et techniques de protection des informations, la procédure de mise en œuvre des moyens de protection ;
Règles de base régissant les activités du personnel en matière d'assurance de la sécurité de l'information de l'installation (fonctions particulières des agents au service du système automatisé);
La procédure de révision du plan et de modernisation des équipements de protection.
La révision du plan de protection est effectuée lorsque les éléments suivants de l'objet sont modifiés :
Architecture du système d'information (connexion d'autres réseaux locaux, changement ou modification des équipements informatiques ou logiciels utilisés) ;
La localisation territoriale des composants du système automatisé.
Dans le cadre du plan de protection, il est nécessaire de disposer d'un plan d'actions pour le personnel en situation critique, c'est-à-dire plan de provision travail continu et récupération d'informations... Il reflète:
Le but d'assurer la continuité du processus de fonctionnement du système automatisé, de restaurer son opérabilité et les moyens d'y parvenir ;
Liste et classification des situations de crise possibles ;
Exigences, mesures et moyens pour assurer le fonctionnement continu et la restauration du processus de traitement de l'information (la procédure de création, de stockage et d'utilisation des copies de sauvegarde des informations, la conservation des archives actuelles, à long terme et d'urgence ; la composition de l'équipement de sauvegarde et la procédure pour son utilisation , etc.);
Responsabilités et procédures des différentes catégories de personnel du système en situation de crise, pour éliminer leurs conséquences, minimiser les dommages et rétablir le fonctionnement normal du système.
Si l'organisation échange des documents électroniques avec des partenaires dans l'exécution d'ordres uniques, il est alors nécessaire d'inclure dans le plan de protection un accord sur la procédure d'organisation de l'échange de documents électroniques, qui reflète les enjeux suivants :
Délimitation de responsabilité des sujets participant aux processus d'échange de documents électroniques ;
Détermination de la procédure d'élaboration, d'exécution, de transmission, de réception, de vérification de l'authenticité et de l'intégrité des documents électroniques ;
La procédure de génération, de certification et de diffusion des informations clés (clés, mots de passe, etc.) ;
La procédure de résolution des litiges en cas de conflits.
Un plan de protection des informations est un ensemble de documents textuels et graphiques. Par conséquent, avec les composants répertoriés de cet ensemble, il peut inclure :
Règlement sur les secrets commerciaux, définissant la liste des informations constituant un secret commercial, et la procédure pour le déterminer, ainsi que les devoirs des agents de protéger les secrets commerciaux ;
Règlement sur la protection de l'information, qui régit tous les domaines d'activité pour la mise en œuvre de la politique de sécurité, ainsi qu'un certain nombre d'instructions supplémentaires, de règles, de dispositions correspondant aux spécificités de l'objet protégé.
Mise en œuvre du plan de sécurité (gestion de la sécurité) implique l'élaboration des documents nécessaires, la conclusion de contrats avec les fournisseurs, l'installation et la configuration des équipements, etc. Après la formation du système de sécurité de l'information, le problème de son utilisation efficace est résolu, c'est-à-dire la gestion de la sécurité.
La gestion est un processus d'impact intentionnel sur un objet, réalisé pour organiser son fonctionnement selon un programme donné.
La gestion de la sécurité de l'information doit être :
Résistant aux interventions actives du délinquant ;
Continu, offrant un impact constant sur le processus de protection ;
Caché, ne permettant pas de révéler l'organisation de la gestion de la sécurité de l'information ;
Prompt, offrant la capacité de répondre rapidement et de manière adéquate aux actions des intrus et de mettre en œuvre les décisions de gestion dans un délai donné.
En outre, les décisions relatives à la protection de l'information devraient être justifiées du point de vue d'un compte rendu complet des conditions d'accomplissement de la tâche, de l'utilisation de divers modèles, des tâches de calcul et d'information, des systèmes experts, de l'expérience et de toute autre donnée qui augmentent la fiabilité des informations initiales et des décisions prises.
Un indicateur de l'efficacité de la gestion de la sécurité de l'information est la durée du cycle de gestion pour une qualité donnée de décisions. Le cycle de contrôle comprend la collecte des informations nécessaires pour évaluer la situation, prendre une décision, former les commandes appropriées et les exécuter. Comme critère d'efficacité, le temps de réponse du système de protection de l'information à une violation peut être utilisé, qui ne doit pas dépasser le temps d'obsolescence de l'information basé sur sa valeur.
Comme le montre le développement de l'ACS réel, aucune des méthodes (mesures, moyens et mesures) pour assurer la sécurité de l'information n'est absolument fiable, et l'effet maximal est atteint lorsqu'elles sont toutes combinées dans un système intégral de protection de l'information. Seule la combinaison optimale de mesures organisationnelles, techniques et programmatiques, ainsi qu'une attention et un contrôle constants sur le maintien du système de protection dans un état à jour, assureront le plus efficacement la solution d'un problème permanent.
Les fondements méthodologiques pour assurer la sécurité de l'information sont des recommandations assez générales basées sur l'expérience mondiale dans la création de tels systèmes. La tâche de chaque spécialiste de la sécurité de l'information est d'adapter des dispositions abstraites à son domaine spécifique (organisation, banque), dans lequel il y aura toujours ses propres particularités et subtilités.
Une analyse de l'expérience nationale et étrangère prouve de manière convaincante la nécessité de créer un système intégré de sécurité de l'information pour une entreprise, reliant les mesures de protection opérationnelles, opérationnelles, techniques et organisationnelles. De plus, le système de sécurité doit être optimal du point de vue du rapport des coûts et de la valeur des ressources protégées. La flexibilité et l'adaptation du système à l'évolution rapide des facteurs environnementaux, des conditions organisationnelles et sociales de l'institution sont nécessaires. Atteindre ce niveau de sécurité est impossible sans analyser les menaces existantes et les canaux possibles de fuite d'informations, ainsi que sans développer une politique de sécurité de l'information au sein de l'entreprise. En conséquence, un plan de protection doit être créé qui met en œuvre les principes énoncés dans la politique de sécurité.
Mais il y a d'autres difficultés et pièges auxquels il faut prêter attention. Il s'agit de problèmes identifiés dans la pratique et peu formalisables : des problèmes non pas de nature technique ou technologique, qui se résolvent d'une manière ou d'une autre, mais des problèmes de nature sociale et politique.
Problème 1. Manque de compréhension parmi le personnel et les cadres moyens et inférieurs de la nécessité d'effectuer des travaux pour améliorer le niveau de sécurité de l'information.
À cet échelon de l'échelle de gestion, en règle générale, les tâches stratégiques auxquelles l'organisation est confrontée ne sont pas visibles. Les problèmes de sécurité peuvent même être ennuyeux - ils créent des difficultés "inutiles".
Les arguments suivants sont souvent invoqués contre la réalisation de travaux et la prise de mesures pour assurer la sécurité de l'information :
L'émergence de restrictions supplémentaires pour les utilisateurs finaux et les spécialistes des départements, leur rendant difficile l'utilisation du système automatisé de l'organisation ;
La nécessité d'un surcoût matériel tant pour la réalisation de ces travaux que pour l'élargissement du personnel de spécialistes traitant du problème de la sécurité de l'information.
Ce problème est l'un des principaux. Toutes les autres questions d'une manière ou d'une autre agissent comme ses conséquences. Pour le surmonter, il est important de résoudre les tâches suivantes : premièrement, améliorer les qualifications du personnel dans le domaine de la sécurité de l'information en organisant des réunions spéciales, des séminaires ; deuxièmement, élever le niveau de sensibilisation du personnel, en particulier, sur les tâches stratégiques auxquelles l'organisation est confrontée.
Problème 2. Confrontation entre le service d'automatisation et le service de sécurité des organisations.
Ce problème est dû au type d'activité et de sphère d'influence, ainsi qu'à la responsabilité de ces structures au sein de l'entreprise. La mise en œuvre du système de protection est entre les mains de spécialistes techniques, et la responsabilité de sa sécurité incombe au service de sécurité. Les professionnels de la sécurité souhaitent utiliser des pare-feu pour restreindre le trafic à tout prix. Mais les personnes travaillant dans les départements d'automatisation ne veulent pas résoudre les problèmes supplémentaires liés à la maintenance des outils spéciaux. De tels désaccords n'affectent pas au mieux le niveau de sécurité de l'ensemble de l'organisation.
Ce problème est résolu, comme la plupart des autres, par des méthodes purement managériales. Il est important, en premier lieu, de disposer d'un mécanisme de résolution de tels litiges dans la structure organisationnelle de l'entreprise. Par exemple, les deux services peuvent avoir un seul superviseur qui s'occupera des problèmes de leur interaction. Deuxièmement, la documentation technologique et organisationnelle doit diviser de manière claire et compétente les sphères d'influence et de responsabilité des départements.
Problème 3. Ambitions personnelles et relations au niveau des cadres intermédiaires et supérieurs.
La relation entre les dirigeants peut être différente. Parfois, lors de la réalisation de travaux sur l'étude de la sécurité de l'information, l'un ou l'autre fonctionnaire manifeste un grand intérêt pour les résultats de ces travaux. En effet, la recherche est un outil suffisamment puissant pour résoudre leurs problèmes particuliers et satisfaire leurs ambitions. Les conclusions et recommandations consignées dans le rapport servent de plan pour les actions futures de tel ou tel maillon. Une interprétation « libre » des conclusions du rapport est également possible en combinaison avec le problème 5, décrit ci-dessous. Cette situation est un facteur extrêmement indésirable, car elle fausse le sens du travail et nécessite une identification et une liquidation en temps opportun au niveau de la haute direction de l'entreprise. La meilleure option est une relation d'affaires, lorsque les intérêts de l'organisation sont au premier plan, plutôt que personnels.
Problème 4. Faible niveau d'exécution du programme d'actions prévu pour créer un système de sécurité de l'information.
Il s'agit d'une situation assez courante lorsque les buts et objectifs stratégiques sont perdus au niveau de l'exécution. Tout peut démarrer parfaitement. Le directeur général décide de la nécessité d'améliorer le système de sécurité de l'information. Un cabinet de conseil indépendant est engagé pour auditer le système de sécurité de l'information existant. À la fin, un rapport est généré, comprenant toutes les recommandations nécessaires pour protéger les informations, finaliser le flux de travail existant dans le domaine de la sécurité de l'information, introduire des moyens techniques de protection des informations et des mesures organisationnelles et soutenir davantage le système créé. Le plan de protection comprend des actions à court et à long terme. De plus, les recommandations sont transférées pour exécution à l'une des divisions. Et ici, il est important qu'ils ne se noient pas dans le marécage de la bureaucratie, des ambitions personnelles, de la lenteur du personnel et d'une douzaine d'autres raisons. L'entrepreneur peut être mal informé, insuffisamment compétent ou tout simplement pas intéressé par l'exécution des travaux. Il est important que le directeur général surveille la mise en œuvre du plan prévu, afin de ne pas perdre, d'une part, les fonds investis dans la sécurité au stade initial, et d'autre part, afin de ne pas subir de pertes en raison de l'absence de ce Sécurité.
Problème 5. Faibles qualifications des spécialistes de la sécurité de l'information.
Cet aspect ne peut être considéré comme un obstacle sérieux s'il n'est pas un obstacle à la création d'un système de protection de l'information. Le fait est que le plan de protection comprend généralement un événement tel qu'une formation avancée de spécialistes dans le domaine de la sécurité de l'information dans l'entreprise. Pour les spécialistes d'autres services, des séminaires sur les bases de l'organisation de la sécurité de l'information peuvent être organisés. Il est nécessaire d'évaluer correctement les qualifications réelles des salariés impliqués dans la mise en œuvre du plan de protection. Souvent, des conclusions erronées ou l'incapacité d'appliquer les méthodes de protection dans la pratique entraînent des difficultés dans la mise en œuvre des mesures recommandées. Avec un soupçon de telles circonstances, la solution la plus correcte serait d'améliorer les compétences des spécialistes de la sécurité de l'information dans des centres de formation spécialement créés.
Ainsi, les activités pratiques dans le domaine de l'amélioration de la sécurité économique et de l'information démontrent clairement que la création d'un véritable système d'exploitation pour la protection de l'information dépend fortement de la résolution rapide des problèmes énumérés. Cependant, l'expérience accumulée montre que tous les problèmes considérés sont résolus avec succès à condition que les représentants du client et de l'entreprise exécutante travaillent en étroite collaboration. L'essentiel est de réaliser l'importance d'un tel travail, d'identifier en temps voulu les menaces existantes et d'appliquer des contre-mesures adéquates, qui, en règle générale, sont spécifiques à chaque entreprise spécifique. La présence de désir et de capacités est une condition suffisante pour un travail fructueux, dont le but serait de créer un système intégré pour assurer la sécurité de l'organisation.
| Précédent |
Le point le plus vulnérable du système de sécurité peut être appelé les employés de l'entreprise et le logiciel et le matériel. En particulier, les données ne sont pas sauvegardées sur les ordinateurs personnels en cas de panne d'équipement, certaines données importantes peuvent être perdues ; le système d'exploitation MS Windows XP et le logiciel utilisé ne sont pas mis à jour, ce qui peut entraîner un accès non autorisé aux informations stockées sur le PC ou son endommagement en raison d'erreurs dans le logiciel ; l'accès des employés aux ressources Internet n'est pas contrôlé, ce qui peut entraîner des fuites de données ; la correspondance électronique commerciale est effectuée sur Internet via des canaux non sécurisés, les messages électroniques sont stockés sur les serveurs des services postaux sur Internet; certains employés ont des compétences insuffisantes pour travailler avec les systèmes automatisés utilisés dans l'académie, ce qui peut entraîner l'apparition de données incorrectes dans le système ; les employés ont accès aux ordinateurs personnels de leurs collègues, ce qui, par négligence, peut entraîner la perte de données ; tous les membres du corps professoral ont accès aux archives, ce qui peut entraîner la perte de certains fichiers personnels ou la durée de leur recherche ; il n'y a pas de règles de sécurité.
L'objectif principal du système de sécurité de l'information est d'assurer le fonctionnement durable de l'installation, de prévenir les menaces à sa sécurité, de protéger les intérêts légitimes de l'entreprise contre les empiètements illégaux, d'empêcher la divulgation, la perte, la fuite, la distorsion et la destruction d'informations officielles et personnelles. informations et assurer les activités de production normales de toutes les divisions de l'installation.
Un autre objectif du système de sécurité de l'information est d'améliorer la qualité des services fournis et les garanties de sécurité.
Les tâches de formation d'un système de sécurité de l'information dans une organisation sont : l'intégrité de l'information, la fiabilité de l'information et sa confidentialité. Une fois les tâches assignées terminées, l'objectif sera atteint.
La création de systèmes de sécurité de l'information dans le SI et l'IT repose sur les principes suivants :
Une approche systématique de la construction d'un système de sécurité, ce qui signifie la combinaison optimale de propriétés organisationnelles, logicielles, matérielles, physiques et autres interdépendantes, confirmée par la pratique de créer des systèmes de sécurité nationaux et étrangers et utilisée à toutes les étapes du cycle technologique de traitement de l'information .
Le principe du développement continu du système. Ce principe, qui est l'un des fondamentaux des systèmes d'information informatiques, est encore plus pertinent pour NIB. Les méthodes de mise en œuvre des menaces à l'information dans l'informatique s'améliorent constamment, et donc assurer la sécurité du SI ne peut pas être un acte unique. Il s'agit d'un processus continu, qui consiste à justifier et à mettre en œuvre les méthodes, méthodes et moyens les plus rationnels pour améliorer la SSI, une surveillance continue, identifier ses goulots d'étranglement et ses faiblesses, les canaux potentiels de fuite d'informations et les nouvelles méthodes d'accès non autorisé.
Séparation et minimisation des pouvoirs d'accès aux informations traitées et aux procédures de traitement, c'est-à-dire fournir, tant aux utilisateurs qu'aux travailleurs de la propriété intellectuelle eux-mêmes, un minimum de pouvoirs strictement définis et suffisants pour leur permettre d'exercer leurs fonctions officielles.
Intégralité du contrôle et de l'enregistrement des tentatives d'accès non autorisées, c'est-à-dire la nécessité d'établir avec précision l'identité de chaque utilisateur et d'enregistrer ses actions en vue d'une éventuelle enquête, ainsi que l'impossibilité d'effectuer un quelconque traitement informatique en informatique sans son enregistrement préalable.
Assurer la fiabilité du système de protection, c'est-à-dire l'impossibilité de réduire le niveau de fiabilité en cas de pannes, de pannes, d'actions délibérées d'un cambrioleur ou d'erreurs involontaires des utilisateurs et du personnel de service dans le système.
Assurer le contrôle du fonctionnement du système de protection, c'est-à-dire création d'outils et de méthodes de suivi de la performance des mécanismes de protection.
Fournir toutes sortes d'outils anti-malware.
Assurer la faisabilité économique de l'utilisation du système de protection, qui s'exprime par l'excès des dommages possibles à la propriété intellectuelle et à l'informatique résultant de la mise en œuvre de menaces par rapport au coût de développement et d'exploitation de la NIB.
1Ministère de l'Intérieur de la Fédération de Russie
Trésor de l'État fédéral Établissement d'enseignement
l'enseignement supérieur
"Institut de droit d'Ufa du ministère des Affaires intérieures de la Russie
Fédération "
Présentation du travail final qualificatif à
matière:
Système de sécurité en russe
Fédération et moyens de l'améliorer
L'auteur de l'œuvre : Art. gr. EK / b-52z Lukyanova O.A.
Tête : Ph.D. Berezinets O.M.
But et objectifs, objet et sujet de recherche
But de l'étude:développement d'un concept scientifiquement fondé du système de sécurité et
fournir des moyens de l'améliorer dans la Fédération de Russie.
Objectifs de recherche:
considérer les bases du concept et du contenu des activités pour assurer la sécurité nationale
RF ;
explorer la fourniture de cadres conceptuels et réglementaires pour les
sécurité de la Fédération de Russie;
étudier la stratégie de sécurité nationale de la Fédération de Russie et les tâches des forces de l'ordre
organes;
refléter la sécurité économique en tant qu'élément intégral de la sécurité nationale et socio-économique du pays : le concept et la réglementation légale ;
analyser l'état actuel, les menaces et la valeur seuil de la sécurité économique ;
envisager des méthodes pour déterminer le niveau de sécurité économique dans la Fédération de Russie ;
enquêter sur le mécanisme permettant d'assurer la sécurité économique de la Fédération de Russie;
refléter les problèmes de mise en œuvre de la sécurité économique de la Fédération de Russie;
proposer des moyens d'améliorer la sécurité économique de la Fédération de Russie.
Objet et sujet de recherche :
L'objet est le système de sécurité de la Fédération de Russie.
L'objet de la recherche est les particularités des relations associées au système de sécurité dans
Fédération Russe.
Principes fondamentaux du concept et du contenu des activités visant à assurer la sécurité nationale de la Fédération de Russie
1. La spécificité de la politique de sécurité nationale estle fait que c'est l'activité de l'État, de la société et des citoyens d'identifier,
contrôle, prévention, parade, réduction, localisation,
neutralisation et élimination des possibilités de causer des dommages aux autochtones
intérêts du pays et leur mise en œuvre
2. L'objet même de l'influence des forces et des moyens d'appui
sécurité nationale - menaces et dangers - représentent
sont des problèmes d'échelle nationale provenant de diverses sphères
vie sociale, mettant le pays au bord de la survie.
3. Système de sécurité nationale
est un amalgame d'organismes et de forces de défense,
l'État et la sécurité publique.
4. Les activités des pouvoirs publics et de la gestion sur
stabilisation économique, sécurité sociale de la population, en
les domaines de la santé, de l'éducation, de la culture et de la protection de l'environnement
l'environnement naturel crée la base nécessaire pour assurer
la sécurité nationale, et y est souvent inclus comme
partie intégrante du sous-système de prévention des menaces.
Cadre juridique et réglementaire pour assurer la sécurité publique de la Fédération de Russie
La Constitution de la Fédération de Russie, les lois fédérales, les lois des entités constitutives de la Fédération de Russie,actes juridiques réglementaires du président de la Fédération de Russie et du gouvernement de la Fédération de Russie
Des documents conceptuels tels que la Stratégie du National
sécurité de la Fédération de Russie et le Concept de sécurité publique de la Fédération de Russie. Détaillé
la liste de la base légale pour assurer la sécurité publique est contenue à l'art. 7
"Le concept de sécurité publique dans la Fédération de Russie", dans lequel, en plus de
des actes juridiques normatifs susmentionnés indiquent les principes généralement reconnus et
les normes du droit international, les traités internationaux, ainsi que les constitutions
(chartes) des entités constitutives de la Fédération de Russie et des municipalités
Un certain nombre de statuts sont également mis en évidence : actes juridiques réglementaires
autorités exécutives fédérales et autorités exécutives
sujets de la Fédération de Russie, actes juridiques normatifs départementaux.
La stratégie de sécurité nationale de la Fédération de Russie et les tâches des services répressifs
5La stratégie de sécurité nationale de la Fédération de Russie et
tâches d'application de la loi
Selon la stratégie de sécurité nationale :
les principales orientations pour assurer la sécurité de l'État et du public sont :
- renforcer le rôle de l'Etat en tant que garant de la sécurité des personnes et des droits de propriété ;
- l'amélioration de la réglementation juridique de la prévention de la criminalité (y compris l'information
sphère publique), la corruption, le terrorisme et l'extrémisme, la propagation de la drogue et la lutte contre de tels phénomènes ;
- développement de l'interaction des services de sécurité de l'État et des forces de l'ordre avec les
société, en renforçant la confiance des citoyens dans les systèmes d'application de la loi et judiciaires de la Fédération de Russie.
moyens d'assurer la sécurité :
- accroître l'efficacité des services répressifs ;
- l'amélioration du système étatique unifié de prévention de la criminalité ;
- développement et utilisation de mesures spéciales visant à réduire le niveau de criminalisation
relations publiques;
- l'éradication des causes et des conditions qui engendrent la corruption, qui est un obstacle à la pérennité
développement de la Fédération de Russie et mise en œuvre des priorités nationales stratégiques;
- développement global des forces de l'ordre et des services spéciaux, renforcement des garanties sociales
leurs employés, en améliorant le soutien scientifique et technique aux forces de l'ordre,
développement d'un système de formation professionnelle de spécialistes dans le domaine de la prestation de
la sécurité publique;
- accroître la responsabilité sociale de l'État et des organismes de sécurité publique ;
- l'amélioration de la structure et des activités des organes exécutifs fédéraux.
Problèmes de la loi fédérale de la Fédération de Russie "sur la sécurité" n ° 390-FZ
6Problèmes de la loi fédérale de la Fédération de Russie "sur
sécurité "N° 390-FZ
1. la loi devrait avoir le statut non seulement fédéral, mais fédéral
droit constitutionnel, puisque, contrairement à la loi de 1992, cette norme
la loi se fonde sur des dispositions spécifiques de la Constitution de la Fédération de Russie, en plus desquelles, dans
la loi principale contient également une indication directe (résultant de l'interdépendance
dispositions de l'art. 106 et 108 de la Constitution de la Fédération de Russie, fixant la liste des questions requises
règlement de la FKZ)
2. il y a eu une substitution du concept de "sécurité" au concept
« Sécurité nationale », de ce qui suit dans le nom
de cet acte juridique réglementaire pour procéder à des ajustements et
prescrire qu'il s'agit d'une loi sur la sécurité nationale
3. interprétation littérale du contenu de la partie 3 de l'art. 4 de la loi à l'examen permet
faire valoir que la politique de l'État dans ce domaine n'est mise en œuvre que sur
sur la base des statuts promulgués par le Président de la Fédération de Russie,
Par le gouvernement de la Fédération de Russie et d'autres sujets de sécurité nationale
Moyens d'améliorer le cadre juridique de la sécurité publique
7Moyens d'améliorer la législation
bases de sécurité publique
1. Afin d'éviter des interprétations contradictoires de la notion de sécurité publique, par exemple
l'établissement d'un appareil conceptuel uniforme consacré par la législation, ainsi que
afin d'optimiser le travail et l'interaction de toutes les autorités exécutives et
réglementation de certains types de sécurité publique, il est nécessaire de développer et
adopter une loi fédérale "Sur la sécurité publique dans la Fédération de Russie"
2. Il est nécessaire d'apporter certains changements et ajustements à l'existant
actuellement le cadre législatif. Tout d'abord, il convient de noter que chaque
une institution distincte de sécurité publique fonctionne sur la base de
la variété des normes spéciales de la législation fédérale et
statuts. Cela affecte directement l'efficacité.
mesures et actions appliquées et mises en œuvre
Définition de la sécurité économique
8Définition de la sécurité économique
La définition la plus aboutie de la sécurité économique, sur
notre avis, a donné I.Ya. Bogdanov. Selon lui, la conjoncture économique
la sécurité est l'état de l'économie du pays,
qui en termes de paramètres volumétriques et structurels est
suffisant pour garantir le statut existant
un état indépendant de la pression extérieure
développement politique et socio-économique, ainsi que
suffisant pour maintenir le niveau des revenus légaux,
fournissant la majorité absolue de la population
bien-être qui répond aux normes de la civilisation
des pays.
La structure du système de sécurité économique de la Fédération de Russie
9La structure du système économique
sécurité de la Fédération de Russie
Menaces sur la sécurité économique
10Menaces sur la sécurité économique
L'évaluation critériée du niveau de sécurité économique du pays implique la prise en compte, la détermination et l'analyse des paramètres suivants
11Critères d'évaluation du niveau de sécurité économique dans
pays implique de prendre en compte, de déterminer et d'analyser les éléments suivants
paramètres
1. L'état du potentiel des ressources, dans le cadre duquel l'efficacité de l'utilisation des ressources est étudiée,
capital et travail, maintien du contrôle de l'État sur les ressources stratégiques, volume d'exportation des ressources
hors de l'État sans porter préjudice à l'économie nationale
2. L'état du potentiel scientifique et technique du pays, qui dépend du niveau de développement des instituts de recherche, de la possibilité d'introduire des développements scientifiques innovants, de la capacité
assurer l'indépendance de l'État dans les domaines stratégiquement importants du progrès scientifique et technologique
3. La stabilité du système financier de l'État, déterminée à partir des indicateurs d'inflation, de formation et
dépenses du budget de l'État, degré de protection des entités du marché, convertibilité
monnaie nationale
4. Équilibrer la politique économique extérieure tout en répondant à la demande de la population et
protection des producteurs nationaux
5. Le niveau de vie de la population (niveaux de pauvreté, de chômage, de différenciation foncière, de revenu après
Imposition)
6. La compétitivité de l'économie, qui dépend des actions stratégiques des structures étatiques sur
mise en œuvre de programmes de développement pour certaines industries et secteurs de l'économie
7. Disponibilité de mécanismes juridiques pour protéger les intérêts des sujets de l'économie nationale
Les principales composantes du dispositif pour assurer la sécurité économique de l'État et de ses régions
12Les principales composantes du mécanisme de provision
la sécurité économique de l'État et de ses régions
Propositions et recommandations pour optimiser la stratégie de sécurité nationale de la Fédération de Russie grâce à l'utilisation d'un système économique efficace
13Suggestions et recommandations pour l'optimisation de la stratégie
la sécurité nationale de la Fédération de Russie grâce à l'utilisation
système efficace de sécurité économique de la Russie
1.dans un acte juridique réglementaire
consolider non seulement stratégique
menaces à la sécurité nationale
RF, mais aussi contre-mesures
en définissant des processus
sous-processus, matrices
responsabilité, le calendrier et
résultats attendus à chaque
étape
2.Fournir une adhésion claire
stratégies de développement par le contrôle
à chaque étape avec un accent particulier
sur la responsabilité, le calendrier et
mise en oeuvre du plan
3. à chaque itération, corréler
les coûts avec le résultat, concentrez-vous sur
pour atteindre efficacement les objectifs et
efficacité de l'action
4. chaque état
organisme / service doit annuellement
rapport sur son efficacité
en faisant correspondre les dépenses et les revenus
budget par leurs activités,
qui assurera l'abolition
services et organismes inefficaces,
unifié et
une approche standardisée de leur
Activités
5. durcir la mesure de la responsabilité
Etat officiers pour crimes et
infractions commises par eux,
qui vous permettra d'avoir confiance en leur
impartialité et travail "propre"
6. pertinence d'utilisation, et
création d'un système de sauvegarde
7. susciter le désir chez les citoyens de la Fédération de Russie
suivre les intérêts du pays en
comprendre le besoin et
l'importance des actions, et
avantages pour la société
Les grandes orientations de la mise en œuvre de la stratégie de l'État pour assurer la sécurité économique au niveau régional
14Les grandes orientations pour la mise en œuvre de la stratégie de l'État
assurer la sécurité économique au niveau régional
niveau
1.
Surmonter
conséquences
crise,
réalisation
économique
devenir mince
réel
secteur
l'économie
région et ses
subordination
Tâches
socio-économique
développement
États
2.
Essentiel
Gain
financier
Sécurité
Région,
priorité
e renforcement
financier
potentiel
réel
secteurs
économie,
sujets
gouvernante
Toutes les formes
propriété
et,
ménages
3. Création
fiable
garanties
technologique
Oh
Sécurité;
renouvellement et
remplacement de l'ancien
Majeur
fonds
entreprises
et établissements
niveau
usure normale
lequel
approchant
à
critique
et est
80-82 %
4. Gagner
énergie
Sécurité
Région,
la mise en oeuvre
actif
Les politiciens
économie d'énergie
et développement
propre
potentiel énergétique
ala,
diversification
je commercialise
produits et
créature
conditions pour
réel
concurrence dans
sphère
source de courant
et moi
5. Résolution
Le total
complexe
problèmes de
lequel
dépend
aliments
nnaya
sécurité
états dans
la totalité
6.
Éviter
expansion
de qualité inférieure
s importé
produits et
aliments
ces marchandises,
lequel
pouvez
produire dans
nécessaire
volumes
industrie agricole
éclairé
complexe dans
Région
7. Résolution
les plus
défis urgents dans
sphère
définitions
long terme
priorités dans
sphère
écologique
e
Sécurité
et protection
alentours
Naturel
Mercredi
Après avoir analysé la sécurité de l'information de l'entreprise, nous pouvons conclure qu'une attention insuffisante est accordée aux points suivants de la sécurité de l'information :
- sauvegarde irrégulière de la base de données de l'entreprise ;
- les données ne sont pas sauvegardées sur les ordinateurs personnels des employés ;
- les messages électroniques sont stockés sur les serveurs des services postaux sur Internet ;
- certains employés ont des compétences insuffisantes pour travailler avec des systèmes automatisés ;
- les employés ont accès aux ordinateurs personnels de leurs collègues ;
- absence de programmes antivirus sur certains postes de travail ;
- la faible différenciation des droits d'accès aux ressources du réseau ;
- il n'y a pas de règles de sécurité.
Tous les éléments ci-dessus sont des inconvénients très importants pour assurer la sécurité de l'information d'une entreprise.
Analyse de risque
Le danger d'une menace est déterminé par le risque en cas de réussite de sa mise en œuvre. Risque - Dommages potentiels. La tolérance au risque signifie que les dommages en cas de menace n'entraînent pas de conséquences négatives graves pour le propriétaire de l'information. L'organisation présente les risques suivants :
1. Sauvegarde irrégulière de la base de données de l'entreprise ;
Conséquences : perte de données sur le fonctionnement de l'entreprise.
2. Les données ne sont pas sauvegardées sur les ordinateurs personnels des employés ;
Conséquence : En cas de panne matérielle, certaines données importantes peuvent être perdues.
3. Les messages électroniques sont stockés sur des serveurs de messagerie sur Internet ;
4. Certains employés ont des compétences insuffisantes pour travailler avec des systèmes automatisés ;
Conséquences : Peut entraîner des données incorrectes dans le système.
5. Les employés ont accès aux ordinateurs personnels de leurs collègues ;
6. Absence de programmes antivirus sur certains postes de travail ;
Conséquences : l'apparition dans le système de programmes antivirus, de logiciels malveillants
7. Mauvaise différenciation des droits d'accès aux ressources du réseau ;
Conséquence : la négligence peut entraîner une perte de données.
8. Il n'y a pas de règles de sécurité.
La finalité et les objectifs du système de sécurité de l'information
L'objectif principal du système de sécurité de l'entreprise est de prévenir les dommages causés à ses activités par le vol de moyens matériels et techniques et de documentation ; destruction de biens et d'objets de valeur; divulgation, fuite et accès non autorisé aux sources d'informations confidentielles ; dysfonctionnement des moyens techniques pour soutenir les activités de production, y compris les moyens d'informatisation, ainsi que la prévention des dommages causés au personnel de l'entreprise.
Les objectifs du système de sécurité sont :
· Protection des droits de l'entreprise, de ses divisions structurelles et de ses employés ;
· Préservation et utilisation efficace des ressources financières, matérielles et informationnelles ;
· Amélioration de l'image de l'entreprise et croissance des bénéfices en assurant la qualité des services et la sécurité des clients.
Tâches du système de sécurité d'entreprise :
· Identification et élimination en temps opportun des menaces pesant sur le personnel et les ressources ; les raisons et conditions propices à l'imposition de dommages financiers, matériels et moraux aux intérêts de l'entreprise, la perturbation de son fonctionnement et de son développement normaux ;
· Affectation d'informations à la catégorie d'accès limité, et d'autres ressources - à différents niveaux de vulnérabilité (danger) et sujet à conservation ;
· Création d'un mécanisme et des conditions pour une réponse rapide aux menaces de sécurité et aux manifestations de tendances négatives dans le fonctionnement de l'entreprise ;
· Suppression efficace des empiètements sur les ressources et des menaces envers le personnel sur la base d'une approche intégrée de la sécurité ;
L'organisation et le fonctionnement du système de sécurité devraient reposer sur les principes suivants :
Complexité. Il s'agit d'assurer la sécurité du personnel, des ressources matérielles et financières, l'information contre toutes les menaces possibles par tous les moyens et méthodes légaux disponibles, tout au long du cycle de vie et dans tous les modes de fonctionnement, ainsi que la capacité du système à se développer et à s'améliorer. en cours de fonctionnement.
Fiabilité. Différentes zones de sécurité doivent être également fiables en termes de probabilité de réalisation d'une menace.
Opportunité. La capacité d'un système à être proactif en analysant et en prédisant les menaces de sécurité et en développant des contre-mesures efficaces.
Continuité. Aucune interruption dans le fonctionnement des systèmes de sécurité causée par la réparation, le remplacement, l'entretien, etc.
Légalité. Développement de systèmes de sécurité basés sur la législation existante.
Suffisance raisonnable. Établir un niveau de sécurité acceptable auquel la probabilité et le montant des dommages possibles seront combinés avec les coûts maximums admissibles pour le développement et l'exploitation du système de sécurité.
Centralisation de la gestion. Fonctionnement indépendant du système de sécurité selon des principes organisationnels, fonctionnels et méthodologiques uniformes.
Compétence. Le système de sécurité devrait être créé et géré par des personnes ayant une formation professionnelle suffisante pour une évaluation correcte de la situation et une prise de décision adéquate, y compris dans des conditions à haut risque.
PROBLÈMES JURIDIQUES DE L'UTILISATION DES TECHNOLOGIES INFORMATIQUES ET AMÉLIORATION DE LA LÉGISLATION
AMÉLIORATION DU MÉCANISME INSTITUTIONNEL DE LA SÉCURITÉ DE L'INFORMATION EN FÉDÉRATION DE RUSSIE
AMÉLIORER LE MÉCANISME INSTITUTIONNEL POUR ASSURER LA SÉCURITÉ DE L'INFORMATION DE LA FÉDÉRATION DE RUSSIE
© Koblova Yulia Alexandrovna
Ioulia A. Koblova
Candidat en sciences économiques, professeur agrégé du département d'économie institutionnelle et de sécurité économique, Institut socio-économique de Saratov (branche) de l'établissement d'enseignement budgétaire de l'État fédéral de l'enseignement professionnel supérieur «PRUE im. G.V. Plékhanov "
Cand.Sc. (Économie), professeur agrégé au département d'économie institutionnelle, institut socio-économique de Saratov (branche) de l'Université russe d'économie Plekhanov
e-mail: [email protégé]
L'article examine les aspects institutionnels de la garantie de la sécurité de l'information de l'État. L'essence et le rôle du mécanisme institutionnel pour assurer la sécurité de l'information de l'État sont révélés. L'évaluation du soutien institutionnel de la sécurité de l'information en Russie est donnée. Les problèmes sont mis en évidence et un système de mesures est proposé pour améliorer le dispositif institutionnel permettant d'assurer la sécurité de l'information du pays.
Mots clés : institutions, mécanisme institutionnel, sécurité de l'information, espace Internet.
Le document examine les aspects institutionnels de la garantie de la sécurité de l'information de l'État. L'auteur révèle l'essence et le rôle du mécanisme institutionnel pour assurer la sécurité de l'information de l'État, évalue le mécanisme institutionnel pour assurer la sécurité de l'information en Russie, met en évidence les principaux défis et propose un système de mesures pour améliorer le mécanisme institutionnel pour assurer la sécurité de l'information.
Mots-clés : institutions, mécanismes institutionnels, sécurité de l'information, espace internet.
Assurer la sécurité de l'information de l'État est une fonction de l'État relativement nouvelle dont la portée et le contenu des méthodes et des outils sont incertains.
flics. Sa formation est due à la nécessité de protéger la société et l'État des menaces liées à l'information associées au développement des dernières technologies de l'information et de la communication.
seules technologies. L'ampleur des conséquences négatives de ces menaces pour les États, les organisations, les personnes a déjà été réalisée par la communauté mondiale, donc la tâche la plus importante de l'État est de développer un système de mesures pour les prévenir et les neutraliser. Un rôle important dans la réalisation de la sécurité de l'information de l'État est joué par le mécanisme institutionnel pour sa fourniture. L'efficacité du système institutionnel qui réalise les intérêts publics est la clé de leur harmonisation afin d'assurer les intérêts les plus élevés de l'État, y compris la sécurité nationale et de l'information.
Rappelons que les institutions sont les règles d'interactions (« règles du jeu ») dans la société générées par la conscience et l'expérience humaines, contraintes et conditions préalables au développement de la politique, de la sphère sociale et de l'économie. Les institutions qui soutiennent la croissance économique à long terme sont les lois et réglementations qui façonnent les incitations et les mécanismes. Les institutions offrent un système d'incitations positives et négatives, réduisent l'incertitude et rendent l'environnement social plus prévisible. Les institutions qui garantissent la sécurité de l'information sont bien connues : l'État de droit, un tribunal indépendant et compétent, l'absence de corruption, etc.
Le mécanisme institutionnel pour assurer la sécurité de l'information est une composante structurelle particulière du mécanisme économique qui assure la création de règles et de règlements régissant l'interaction de diverses entités économiques dans la sphère de l'information pour prévenir les menaces à la sécurité de l'information. Le dispositif institutionnel met en mouvement les institutions (formelles et informelles), structure l'interaction des sujets et contrôle le respect des normes et règles établies.
L'essence du mécanisme institutionnel se manifeste à travers ses fonctions. V.O. Inchakov et N.N. Lebedeva pense que le mécanisme institutionnel remplit les fonctions suivantes, qui sont applicables au mécanisme de sécurité de l'information :
1) l'intégration d'agents dans une même institution afin de mener des activités communes dans le cadre de statuts et de normes communs ;
2) différenciation des normes et des statuts, ainsi que des sujets et agents des différentes institutions en exigences qui les séparent et les ignorent ; régulation de l'interaction entre les institutions
celui-ci et ses agents conformément aux exigences établies ;
3) mise en œuvre de la traduction des nouvelles exigences dans la pratique ;
4) assurer la reproduction des innovations de routine ;
5) subordination et coordination des relations entre sujets appartenant à des institutions différentes ;
6) informer les sujets sur les nouvelles normes et sur les comportements opportunistes ;
7) la réglementation des activités des entités qui partagent et rejettent les exigences déterminées par l'établissement ;
8) contrôle de la mise en œuvre des normes, règles et accords.
Ainsi, le mécanisme institutionnel pour assurer la sécurité de l'information comprend le cadre législatif et les structures institutionnelles qui le soutiennent. L'amélioration de ce mécanisme comprend la réorganisation du cadre juridique de la sécurité de l'information et des structures institutionnelles pour lutter contre les menaces à la sécurité de l'information.
Le mécanisme institutionnel pour assurer la sécurité de l'information comprend : l'adoption de nouvelles lois qui prendraient en compte les intérêts de tous les sujets de la sphère de l'information ; maintenir un équilibre entre les fonctions créatrices et restrictives des lois dans le domaine de l'information ; l'intégration de la Russie dans l'espace juridique mondial ; en tenant compte de l'état de la sphère des technologies de l'information nationales.
À ce jour, une base législative dans le domaine de la sécurité de l'information a été formée en Russie, comprenant :
1. Lois de la Fédération de Russie : Constitution de la Fédération de Russie, « Sur la sécurité » ; « Sur les organes du Service fédéral de sécurité de la Fédération de Russie », « Sur les secrets d'État », « Sur le renseignement étranger », « Sur la participation à l'échange international d'informations », « Sur l'information, les technologies de l'information et la protection de l'information », « Sur les signature numérique " et etc.
2. Actes juridiques normatifs du Président de la Fédération de Russie : Doctrine de la sécurité de l'information de la Fédération de Russie ; La stratégie de sécurité nationale de la Fédération de Russie jusqu'en 2020, « Sur les fondements de la politique de l'État dans le domaine de l'informatisation », « Sur la liste des informations classées comme secrets d'État », etc.
3. Actes juridiques normatifs du gouvernement de la Fédération de Russie : « Sur la certification
moyens de protection de l'information "," Sur l'autorisation des activités d'entreprises, d'institutions et d'organisations pour effectuer des travaux liés à l'utilisation d'informations constituant un secret d'État, à la création d'outils de sécurité de l'information, ainsi qu'à la mise en œuvre de mesures et (ou) la prestation de services pour la protection des secrets d'État "," Sur l'octroi de licences pour certains types d'activités ", etc.
4. Code civil de la Fédération de Russie (quatrième partie).
5. Le Code pénal de la Fédération de Russie.
Ces dernières années, la Russie a mis en œuvre
un ensemble de mesures pour améliorer la fourniture de sa sécurité de l'information. Des mesures ont été mises en œuvre pour garantir la sécurité de l'information dans les organes du gouvernement fédéral, les organes gouvernementaux des entités constitutives de la Fédération de Russie, dans les entreprises, les institutions et les organisations, quelle que soit la forme de propriété. Des travaux sont en cours pour protéger les systèmes d'information et de télécommunication spéciaux. La solution efficace des problèmes de sécurité de l'information dans la Fédération de Russie est facilitée par le système de protection de l'information d'État, le système de protection des secrets d'État et le système de certification des moyens de protection de l'information.
La Commission technique d'État dirigée par le Président de la Fédération de Russie poursuit une politique technique unifiée et coordonne les travaux dans le domaine de la protection de l'information, est en charge du système national de protection des informations contre les renseignements techniques et assure la protection des informations contre les fuites par les canaux techniques. en Russie et contrôle l'efficacité des mesures de protection prises.
Les organisations étatiques et publiques jouent un rôle important dans le système de sécurité de l'information du pays : elles exercent un contrôle sur les médias étatiques et non étatiques.
Dans le même temps, le niveau de sécurité de l'information en Russie ne répond pas pleinement aux besoins de la société et de l'État. Dans les conditions de la société de l'information, les contradictions entre le besoin public d'expansion et de liberté d'échange de l'information, d'une part, et la nécessité de préserver certaines restrictions réglementées à sa diffusion sont aggravées.
À l'heure actuelle, il n'existe aucun soutien institutionnel aux droits des citoyens dans le domaine de l'information inscrits dans la Constitution de la Fédération de Russie (à l'inviolabilité de la vie privée, aux secrets personnels, au secret de la correspondance, etc.). Quitter
La protection des données personnelles collectées par les autorités fédérales est à souhaiter.
Il y a un manque de clarté dans la conduite de la politique de l'État dans la formation de l'espace d'information de la Fédération de Russie, les médias, l'échange international d'informations et l'intégration de la Russie dans l'espace d'information mondial.
L'amélioration du mécanisme institutionnel de sécurité de l'information de l'État, à notre avis, devrait viser à résoudre les problèmes importants suivants.
La faible orientation pratique de la législation russe moderne dans le domaine de l'information crée des problèmes d'ordre juridique et méthodologique. Des opinions sont exprimées selon lesquelles la doctrine de la sécurité de l'information de la Fédération de Russie n'a aucune valeur appliquée, contient de nombreuses inexactitudes et erreurs méthodologiques. Ainsi, les objets de la sécurité de l'information dans la Doctrine sont les intérêts, la personnalité, la société, l'État - des concepts qui ne sont pas comparables entre eux. De nombreux scientifiques ont attiré l'attention sur l'inadmissibilité d'accepter la protection des intérêts, et non de leurs porteurs, comme objet de la sécurité de l'information.
L'utilisation de ces catégories, dont le contenu est vague, dans un document législatif n'est pas tout à fait inappropriée. Par exemple, les sujets de droit sont les personnes morales et les individus, les organisations, les apatrides, les autorités exécutives. La catégorie « État » comprend le territoire du pays, sa population (nation), le pouvoir politique, l'ordre constitutionnel.
La doctrine de sécurité de l'information de la Fédération de Russie reconnaît comme sources de menaces à la sécurité de l'information :
Activités des structures étrangères ;
Développement de concepts de guerres de l'information par un certain nombre d'États ;
La volonté de domination d'un certain nombre de pays, etc.
Selon G. Atamanov, la source peut être un objet ou un sujet qui participe au processus d'information ou est capable de l'influencer à un degré ou à un autre. Par exemple, en droit américain, les sources de menaces pour l'infrastructure de l'information incluent : les pirates informatiques contre les États-Unis ; groupes terroristes; les États contre lesquels une opération antiterroriste peut être dirigée ;
hackers, curieux ou s'affirmant.
Les inconvénients et le caractère cadre de la Doctrine réduisent l'efficacité et limitent la portée de son application, donnent une mauvaise direction à l'évolution de la législation dans le domaine de l'information et la brouillent de plus en plus.
Pour assurer la sécurité de l'information, il est nécessaire de créer un système approprié de relations juridiques, ce qui, à son tour, est impossible sans réviser l'appareil catégorique, le fondement doctrinal et conceptuel de la législation dans le domaine de l'information.
2. L'écart entre la législation et la pratique dans le domaine de l'information.
Un écart énorme entre la législation et la pratique dans le domaine de l'information existe objectivement en raison de la rapidité et de l'ampleur du développement des technologies de l'information et d'Internet, qui génèrent instantanément de nouvelles menaces. Le processus législatif, au contraire, est long et épineux. Par conséquent, dans les conditions modernes, des mécanismes sont nécessaires pour harmoniser le développement des lois avec les réalités du développement des technologies de l'information et de la société de l'information. Il est important que le décalage ne soit pas trop important, car cela entraîne une diminution ou une perte de la sécurité des informations.
Combler le fossé entre la pratique et la législation dans le domaine de l'information est nécessaire pour réduire et neutraliser les menaces à la sécurité de l'information résultant de l'avancement du développement des technologies de l'information et de l'émergence d'un vide dans la législation.
3. Absence d'institutions supranationales garantissant la sécurité de l'information.
Il est impossible de confronter les crimes commis sur Internet avec les forces d'un seul pays. Les mesures d'interdiction introduites au niveau national ne seront pas efficaces, car les contrevenants peuvent se trouver à l'étranger. Pour les combattre, il est nécessaire de consolider les efforts au niveau international et d'adopter des règles de conduite internationales dans l'espace Internet. Des tentatives similaires ont été faites. Ainsi, la Convention de Budapest du Conseil de l'Europe a permis de poursuivre les contrevenants sur le territoire d'un autre Etat sans avertir ses autorités. C'est pourquoi de nombreux pays ont jugé inacceptable de ratifier ce document.
Loi type « sur les bases de la réglementation de l'Internet », approuvée en séance plénière
réunion de l'Assemblée interparlementaire des États membres de la CEI, établit la procédure de soutien de l'État et de réglementation d'Internet, ainsi que les règles permettant de déterminer le lieu et le moment des actions juridiquement importantes dans le réseau. En outre, la loi réglemente les activités et les responsabilités des opérateurs de services.
Il faut également noter la ratification du document permettant l'échange d'informations confidentielles sur le territoire de la Russie, de la Biélorussie et du Kazakhstan. Il s'agit d'un protocole qui définit la procédure à suivre pour fournir des informations contenant des informations confidentielles pour les enquêtes précédant l'introduction de mesures spéciales de protection, antidumping et compensatoires à l'égard de pays tiers. Il s'agit d'un accord très important des États membres de l'Union douanière, qui nous permet de développer et de mettre en place conjointement des mesures de protection antidumping et compensatoires. Ainsi, aujourd'hui, un cadre réglementaire solide s'est organisé, qui crée un organisme supranational fondamentalement nouveau, autorisé non seulement à mener des enquêtes, à recueillir des preuves, mais aussi à les protéger des fuites, en déterminant la procédure à suivre.
La formation d'institutions supranationales dans le domaine de l'information permettra de dépasser les limites des législations nationales dans la lutte contre les délits informatiques.
4. Manque d'institutions de l'espace Internet.
Actuellement, de telles nouvelles institutions devraient apparaître dans le droit international pour réglementer l'interaction des sujets dans l'espace Internet en tant que "frontière électronique", "souveraineté électronique", "taxation électronique" et autres. Cela aidera à surmonter la nature latente de la cybercriminalité, c'est-à-dire augmenter le taux de détection des cybercrimes.
5. Développement du partenariat public-privé dans le domaine de l'information.
Un dilemme intéressant pose un dilemme intéressant face à la volonté des agences gouvernementales de publier des rapports sur la santé de leurs systèmes de sécurité de l'information. D'une part, ces publications reflètent les efforts de l'État pour maintenir le système de cybersécurité à la bonne hauteur. Il semblerait qu'un tel résultat devrait conduire à une structure de coûts plus efficace pour la cybersécurité. Mais, d'autre part, la publication d'informations sur les lacunes du système de cybersécurité
Revue scientifique et pratique. ISSN 1995-5731
La sécurité des organisations gouvernementales est plus susceptible de les rendre vulnérables aux attaques de pirates informatiques, ce qui nécessite davantage de ressources pour les repousser et les empêcher.
Gordon et Loeb considèrent le problème des « trajets gratuits » (// tee- ^ em) comme le plus grand défi pour assurer la coopération et le partage d'informations liées à la sécurité entre les agences gouvernementales et les entreprises. Il semblerait que puisque la sécurité des réseaux informatiques dépend des actions de chaque participant, une telle coopération est le meilleur moyen d'augmenter l'efficacité des fonds dépensés pour assurer la cybersécurité. Un échange fructueux d'informations et d'expériences dans le domaine de la cybersécurité pourrait être l'occasion de coordonner de telles activités aux niveaux national et international. Mais en réalité, la crainte d'une entreprise de perdre son avantage concurrentiel en participant à une telle coopération en réseau et en fournissant des informations complètes sur elle-même conduit à un biais.
de fournir des informations complètes. La situation ici ne peut être modifiée que par le développement de partenariats public-privé fondés sur la mise en place d'incitations économiques suffisamment importantes.
Ainsi, le dispositif institutionnel permettant d'assurer la sécurité de l'information de l'État présuppose la formation d'un cadre législatif et de structures institutionnelles qui l'assurent. Pour améliorer le mécanisme institutionnel et former une nouvelle architecture de sécurité économique dans l'économie de l'information, un système de mesures a été proposé, notamment : surmonter la nature déclarative de la législation et réduire l'écart entre la législation et la pratique dans le domaine de l'information, la formation de législation supranationale dans le domaine de l'information, la création de nouvelles institutions qui déterminent le cadre d'interaction et les règles de conduite dans l'espace Internet.
Liste bibliographique (Références)
1. Inchakov OV, Lebedeva N.N. Mécanismes économiques et institutionnels : corrélation et interaction dans les conditions de transformation sociale et marchande de l'économie russe // Bulletin de Saint-Pétersbourg. Etat bottes fourrées. Sér. 5. 2008. Émission. 4 (n° 16).
2. Dzliev M.I., Romanovich A.L., Ursul A.D. Problèmes de sécurité : aspects théoriques et méthodologiques. M., 2001.
3. Atamanov GA Sécurité de l'information dans la société russe moderne (aspect socio-philosophique) : dis. ... Cand. Philos. les sciences. Volgograd, 2006.
4. Kononov AA, Smolyan GL Société de l'information : société du risque total ou société de la sécurité garantie ? // Société de l'information. 2002. N° 1.
1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. va. un-ta. Sér. 5. Vyp. 4 (n° 16).
2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Problème bezopasnosti : teoretiko-metodologicheskiye aspekty. M.
3. Atamanov G.A. (2006) Informatsionnaya bezopasnost "v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt). Volgograd.
4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska ili obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. No. 1.