Отечественная нормативно-правовая база, под действие которой подпадают АС различного назначения

Стандартизация в области защиты информации

К основным стандартам и нормативным техническим документам по безопасности информации, в первую очередь, относятся:

· в области защиты информации от несанкционированного доступа комплект руководящих документов Гостехкомиссии России (1998 г), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники"", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники", "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";

· в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки за счет ПЭМИН" (СТР), ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования", ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний", методики контроля защищенности объектов ЭВТ и другие.

Особенности защиты программ нашли свое отражение в следующих документах Гостехкомиссии России: "Программное обеспечение автоматизированных систем и средств вычислительной техники. Классификация по уровню гарантированности отсутствия недекларированных возможностей" и "Антивирусные средства. Показатели защищенности и требования по защите от вирусов". В первом документе устанавливается классификация программного обеспечения автоматизированных систем и средств вычислительной техники по уровню гарантированности отсутствия в нем недекларированных возможностей, где уровень гарантированности определяется набором требований, предъявляемых к составу, объему и содержанию документации представляемой заявителем для проведения испытаний программ и к содержанию испытаний.

Во втором документе устанавливается классификация средств антивирусной защиты по уровню обеспечения защиты от воздействия программ-вирусов на базе перечня показателей защищенности и совокупности описывающих их требований. Кроме того, следующие нормативные документы так или иначе косвенно регламентируют отдельные вопросы обеспечения безопасности ПО:

· ГОСТ 28195-89. Оценка качества программных средств. Общие положения;

· ГОСТ 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;

· ГОСТ ВД 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;

· ТУ на конкретный вид продукции (ПО).

Стандартизация отечественных криптографических алгоритмов

Отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 [9-11] описывают криптографические алгоритмы, достаточные для решения большинства прикладных задач:

· ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" описывает три алгоритма шифрования данных (из них один - так называемый "режим простой замены" - является служебным, два других - "режим гаммирования" и "режим гаммирования с обратной связью" - предназначены для шифрования целевых данных) и алгоритм выработки криптографической контрольной суммы (имитовставки), предназначенной для контроля целостности информации;

· ГОСТ Р 34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма";

· ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования".

Последние два алгоритма связаны друг с другом и описывают алгоритмы выработки и проверки электронной цифровой подписи, служащей для удостоверения авторства и подлинности информации.

34 Обеспечение повседневной деятельности службы защиты информации.

Задачами службы безопасности являются помимо чисто охранных функций:

· обеспечение безопасности информации структурных подразделений и персонала Предприятия в процессе информационной деятельности и взаимодействия между собой, а также во взаимоотношениях с внешними отечественными и заграничными организациями;

· исследование технологии обработки информации с целью выявления возможных каналов утечки и других угроз безопасности информации, формирование модели угроз, разработка политики безопасности информации, определение мероприятий, направленных на ее реализацию;

· организация и координация работ, связанных с защитой информации на Предприятии, необходимость защиты которой определяется действующим законодательством, поддержка необходимого уровня защищенности информации, ресурсов и технологий;

· разработка проектов нормативных и распорядительных документов, действующих в границах организации, предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;

· организация работ по созданию и использованию КСЗИ на всех этапах жизненного цикла КС;

· участие в организации профессиональной подготовки и повышении квалификации персонала и пользователей КС по вопросам защиты информации;

· формирование у персонала и пользователей Предприятия понимания необходимости выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся сферы защиты информации;

· организация обеспечения выполнения персоналом и пользователями требований нормативно-правовых актов, нормативных и распорядительных документов по защите информации Предприятии и проведение контрольных проверок их выполнения;

· обеспечение определенных политикой безопасности свойств информации (конфиденциальности, целостности, доступности) во время создания и эксплуатации КС;

· своевременное выявление и обезвреживание угроз для ресурсов КС, причин и условий, которые приводят (могут привести к) нарушениям ее функционирования и развития;

· создание механизма и условий оперативного реагирования на угрозы безопасности информации, другие проявления отрицательных тенденций в функционировании КС;

· эффективное обезвреживание (предупреждение) угроз ресурсам КС путем комплексного внедрения правовых, морально-этических, физических, организационных, технических и других мероприятий обеспечения безопасности;

· управление средствами защиты информации, управление доступом пользователей к ресурсам КС, контроль за их работой со стороны персонала Службы безопасности, оперативное извещение о попытках НСД к ресурсам КС Предприятия;

· регистрация, сбор, хранение, обработка данных о всех событиях в системе, которые имеют отношение к безопасности информации;

· создание условий для максимально возможного возмещения и локализаци убытков, которые создаются неправомерными (несанкционированными) действиями физических и юридических лиц, влиянием внешней среды и другими факторами, уменьшение отрицательного влияния последствий нарушения безопасности функционирования КС.

Служба безопасности имеет право:

- осуществлять контроль за деятельностью любого структурного подразделения Предприятия относительно выполнения им требований нормативно-правовых актов и нормативных документов по защите информации;

- подавать руководству Предприятия предложения относительно приостановления процесса обработки информации, запрета обработки, изменения режимов обработки, и т.п. в случае выявления нарушений политики безопасности или в случае возникновения реальной угрозы нарушения безопасности;

- составлять и подавать руководству Предприятия акты относительно выявленных нарушений политики безопасности, готовить рекомендации относительно их устранения;

- проводить служебные расследования в случаях выявления нарушений;

- получать доступ к работам и документам структурных подразделений Предприятия, необходимых для оценки принятых мер по защите информации и подготовки предложений относительно их дальнейшего усовершенствования;

- готовить предложения относительно привлечения на договорной основе к выполнению работ по защите информации других организаций, которые имеют лицензии на соответствующий вид деятельности;

- готовить предложения относительно обеспечения КС (КСЗИ) необходимыми техническими и программными средствами защиты информации и другой специальной техникой, разрешенной для использования на Украине с целью обеспечения защиты информации;

- выходить к руководству Предприятия с предложениями относительно представления заявлений в соответствующие государственные органы на проведение государственной экспертизы КСЗИ или сертификации отдельных средств защиты информации;

- согласовывать условия включения в состав КС новых компонентов и подавать руководству предложения относительно запрета их включения, если они нарушают принятую политику безопасности или уровень защищенности ресурсов КС;

- предоставлять выводы по вопросам, которые належат к компетенции Службы безопасности, необходимые для осуществления информационной деятельности Предприятия, в особенности технологий, доступ к которым ограничен, других проектов, которые требуют технической поддержки со стороны сотрудников Службы безопасности;

- выходить к руководству Предприятия с предложениями относительно согласования планов и регламента доступа к КС посторонним лицам;

- другие права, предоставленные Службе безопасности в соответствии с спецификой и особенностями деятельности Предприятия.

35 Требование общегосударственной программы по защите информации.

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина служит основой для:
формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
I. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Национальные интересы Российской Федерации
в информационной сфере и их обеспечение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
Для достижения этого требуется:
развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
В этих целях необходимо:
повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
2. Виды угроз информационной безопасности
Российской Федерации
По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики Российской Федерации;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:
принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;
манипулирование информацией (дезинформация, сокрытие или искажение информации).
Угрозами информационному обеспечению государственной политики Российской Федерации могут являться:
монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.
Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:
противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;
закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:
противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам;
внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации.
3. Источники угроз информационной безопасности
Российской Федерации
Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
обострение международной конкуренции за обладание информационными технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
недостаточная экономическая мощь государства;
снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
4. Состояние информационной безопасности
Российской Федерации
и основные задачи по ее обеспечению
За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации “О государственной тайне”, Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы “Об информации, информатизации и защите информации”, “Об участии в международном информационном обмене”, ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.
Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.
Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства.
Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.
Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации.
Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).
Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.
Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.
Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.
Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.
Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения “информационного оружия” против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании. Недостаточное внимание уделяется развитию средств космической разведки и радиоэлектронной борьбы.
Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения таких задач, как:
разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения “информационного оружия”;
разработка и создание механизмов формирования и реализации государственной информационной политики России;
разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
II. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
5. Общие методы обеспечения
информационной безопасности Российской Федерации
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:
внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
6. Особенности обеспечения информационной безопасности
Российской Федерации в различных сферах общественной жизни
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.

36 Роль стандартов информационной безопасности и их анализ.

При рассмотрении ограничений «Общих критериев» мы обращали внимание на то. что они не затрагивают вопросов, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий. Действительно, при построении системы управления информационной безопасностью на предприятии возникает целый ряд вопросов, заслуживающих отдельного рассмотрения.

Наиболее распространёнными управленческими стандартами на сегодняшний день являются документы, разработанные Британским институтом стандартов (BSI - British Standards Institution). Стандарты BS 7799-1, BS 7799-2 и BS 7799-3 крайне популярны во всём мире, первые два из них имеют международный статус стандартов ISO (последние версии данных стандартов имеют обозначения КОЛЕС 17799:2005 и КОЛЕС 27001:2005 соответственно).

По сравнению с общими критериями, данные документы носят гораздо более неформальный характер н представляют собой скорее набор практических рекомендаций по развёртыванию и поддержанию системы управления информационной безопасностью.

ISO 17799:2005

Стандарт ISO/IEC17799:2005 "Information technology - Security techniques. - Code of practice for information security management" [41] (Информационные технологии. Методы обеспечения безопасности. Практическое руководство по управлению информационной безопасностью) представляет собой набор практических рекомендации по построению комплексной корпоративной системы управления информационной безопасностью.

Согласно положениям стандарта, информационная безопасность рассматривается как процесс зашиты информационных активов организации от различного рода угроз, который достигается путём реализации тех или иных сервисов безопасности¹. Требования к системе безопасности определяются по результатам предварительно проведённого анализа рисков, исходя из требований нормативных и законодательных актов, а также путём анализа специфических потребностей бизнеса. Сервисы выбираются таким образом, чтобы минимизировать идентифицированные информационные риски.

Именно каталог рекомендуемых сервисов безопасности и составляет основное содержание стандарта. Сервисы сгруппированы по следующим тематическим разделам:

1. Политика безопасности.

2. Организация информационной безопасности.

3. Управление активами.

4. Безопасность человеческих ресурсов.

5. Физическая безопасность и безопасность окружающей среды.

6. Управление телекоммуникациями и операциями.

7. Управление доступом.

8. Приобретение, разработка и внедрение информационных систем.

9. Управление инцидентами в сфере информационной безопасности.

10. Управление непрерывностью бизнеса.

11. Соответствие.

Для каждого сервиса приведены его определение, руководство по реализации н дополнительная информация.

Политика информационной безопасности рассматривается как базовый высокоуровневый документ, утверждённый высшим руководством организации и определяющий общий подход к организации и управлению информационной безопасности. Политика также содержит ссылки на низкоуровневые стандарты, руководства и процедуры, определяющие практические аспекты реализации механизмов безопасности. Пересмотр политики осуществляется через запланированные промежутки времени или в случае принципиальных изменений в информационной системе.

Требования по организации информационной безопасности включают в себя вопросы разделения обязанностей и распределения ответственности между всеми участниками информационного взаимодействия, существующего в организации. Отдельно рассматриваются вопросы взаимодействия с органами власти, контрагентами и другими сторонними организациями, а также возникающие в ходе такого взаимодействия вопросы конфиденциальности.

Управление активами предполагает проведение инвентаризации активов и обеспечение корректного их использования. В качестве одного из базовых механизмов обеспечения информационной безопасности предлагается проведение категорирования информации с точки зрения ее ценности, секретности, критичности для организации, или же по требованиям законодательных и нормативных актов.

Вопросы безопасности человеческих ресурсов призваны обеспечить соблюдении установленного режима информационной безопасности сотрудниками и контрагентами. Во всех случаях права и обязанности сторон в сфере информационной безопасности должны быть строго оговорены в трудовом договоре. Регламентируются порядок найма и корректного увольнения сотрудников, а также вопросы обучения и образовательных тренингов в области информационной безопасности

Физическая безопасность и безопасность окружающей среды достигаются путём применения комплекса механизмов управления физическим доступом к активам организации, использования противопожарных систем, систем кондиционирования, а также путём своевременного и полноценного технического обслуживания сооружений и инфраструктуры. Рассматриваются вопросы корректной утилизации активов и повторного использования оборудования.

Управление телекоммуникациями и операциями реализуется путём чёткой формализации всех процедур, связанных с обработкой информации в АС. Все изменения в процедурах и самих средствах обработки информации должны строго документироваться. Определяются механизмы борьбы с вредоносным программным обеспечением н методы обеспечения безопасности мобильного кода. Предлагаются подходы к обеспечению безопасности специфических сетевых сервисов, таких, например, как механизмы электронной платежей. Отдельно рассматриваются вопросы безопасности носителей информации.

При рассмотрении вопросов управления доступом особое внимание уделяется рекомендациям по корректной реализации механизмов парольной защиты. Определяется порядок организации удалённого доступа пользователей к информационной системе, приводятся рекомендации по работе с мобильными вычислительными устройствами.

В ходе приобретения, разработки и внедрения информационных систем предполагается устанавливать акцент на обеспечении целостности информационных активов и программных компонентов системы, достигаемой, в частности, с использованием криптографических механизмов. Предлагаются также механизмы защиты от утечки информации на различных этапах жизненного цикла информационной системы.

Управление инцидентами в сфере информационной безопасности может осуществляться силами специалистов организации или с привлечением уполномоченных органов безопасности. Данная деятельность в общем случае включает в себя сбор улик, проведение расследования и анализ результатов расследования в целях недопущения повторных инцидентов и повышения общей защищённости информационной системы.

Обеспечение непрерывности бизнеса является одной из основных задач системы управления информационной безопасностью и должно реализовать защиту критических онзне с-процесс ов от сооев или стихийных оедствин. газраоатываемые планы непрерывности бизнеса должны гарантировать доступность критических информационных ресурсов и сервисов на требуемом уровне. Планы непрерывности бизнеса должны тщательно тестироваться и своевременно обновляться при изменении структуры информационной системы или бизнес-модели организации.

Соответствие требованиям законодательных актов, отраслевых стандартов и других нормативных документов является обязательным для всех информационных систем. Требования безопасности также могут быть определены в договорных обязательствах. Рассматриваются также вопросы обеспечения защиты от злоупотреблений пользователей различными сервисами и информационными ресурсами.

В России аутентичный перевод стандарта в настоящее время планируется к принятию в качестве ГОСТ.

. ISO/TXC 27001:2005

Стандарт ISO/IEC 27001:2005 "Information technology - Security techniques -Information security management systems - Requirements" [43] (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.) представляет собой расширение ISO ЕС 17799:2005, устанавливающее требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию корпоративных систем управления информационной безопасностью (СУИБ).

Реализация СУИБ осуществляется путём внедрения четырёхфазной модели PDCA (Plan-Do-Check-Act, Планирование - Реализация - Оценка - Корректировка).

Система управления информационной безопасностью получает в качестве исходных данных требования информационной безопасности н ожидания заинтересованных сторон н путём применения необходимых мер и процессов реализует необходимые механизмы безопасности.

Предварительным условием начала работ по планированию СУИБ является принятие политики безопасности, устанавливающей обшие принципы обеспечения информационной безопасности в организации и задающей область действия СУИБ. Планирование осуществляется путём проведения опенки рисков и выбора сервисов безопасности, соответствующих требованиям, идентифицированным по результатам анализа рисков. Каталог сервисов безопасности, полностью соответствующих приведенным в ISO IEC 17799:2005. содержится в приложении А к стандарту ISO ЕС 27001:2005.

На этапе реализации необходимо, решив вопросы финансирования и распределения обязанностей, реализовать выбранные на этапе планирования сервисы безопасности и обеспечить корректную их эксплуатацию. Необходимо предусмотреть наличие механизмов оценки эффективности сервисов безопасности и реализовать программы обучения пользователей вопросам информационной безопасности. При осуществлении эксплуатации СУИБ необходимо тщательно контролировать и корректно отрабатывать инциденты, связанные с информационной безопасностью.

Проведение опенки СУИБ предполагает проведение анализа эффективности функционирования как отдельных сервисов безопасности, так и СУИБ в целом. Отслеживание изменений, происходящих в системе, должно сопровождаться пересмотром результатов анализа рисков. Внутренний аудит СУИБ должен проводиться через запланированные интервалы времени.

Фаза корректировки должна обеспечить непрерывное совершенствование системы управления информационной безопасностью с учётом изменяющихся рисков и требований. В ряде случаев проведение корректировки может потребовать возврата к предыдущим фазам модели - например, к этапам планирования и реализации.

Реализация СУИБ сопровождается разработкой системы документации, которая должна включать следующие материалы:

- положения политики безопасности организации:

- область действия СУИБ;

- процедуры и сервисы безопасности, поддерживающие СУИБ;

- описание применяемых методов оценки рисков;

- отчёты, содержащие результаты оценки рисков;

- план управления рисками;

- методики опенки эффективности применяемых сервисов безопасности;

- декларация применимости;

- записи, подтверждающие эффективность функционирования СУИБ и предоставляющие свидетельства её соответствия положениям стандарта.

Аналогично ISO.IEC 17799:2005. стандарт ISO.IEC 27001:2005 в ближайшее время должен быть принят в Российской Федерации в качестве ГОСТ.

37 Организационно-правовая основа защиты информации в АСОД в России и за рубежом.

Самая жесткая система органов защиты информации существует в Великобритании, где вся она создавалась в рамках государства и ради его целей.

Во Франции в силу её республиканского характера помимо государственных органов существуют и негосударственные организации. Германия помимо государственной системы имеет систему независимых уполномоченных, которые не подчиняются государству, тоже и в Швейцарии.

Поиск по сайту: