Курс лекций для студентов специальности 050501 Профессиональное обучение (по отраслям) специализация Программное обеспечение вт и ас

Вид материала

Содержание

Тема 2. Обеспечение информационной безопасности на государственном уровне
Доктрина в области информационной безопасности РФ
2.2 Правовая основа системы лицензирования и сертификации в РФ
2.3 Категории информации
Нормативно техническая база защиты информации в России.
Документы Государственной технической комиссии (Гостехкомиссия) при президенте РФ
Гост р исо/мэк 15408 – «

Подобный материал:

1 2 3 4 5 6 7 8 9 ... 19

Тема 2. Обеспечение информационной безопасности на государственном уровне

2.1 Доктрина в области информационной безопасности РФ

Государственная политика Российской федерации в области защиты информации (ЗИ) сформировалась в начале 90-х годов и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Доктрина в области информационной безопасности РФ была утверждена 9 сентября 2000 г. президентом. Она развивает концепцию национальной безопасности применительно к информационной сфере.

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина служит основой для:

формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

I. Информационная безопасность Российской Федерации

1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение

2. Виды угроз информационной безопасности Российской Федерации

3. Источники угроз информационной безопасности Российской Федерации

4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению

II. Методы обеспечения информационной безопасности Российской Федерации

5. Общие методы обеспечения информационной безопасности Российской Федерации

6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни

III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации

8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации

IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации

10. Основные функции системы обеспечения информационной безопасности Российской Федерации

11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

Доктрина определяет следующие основные принципы государственной политики:

Соблюдение конституции РФ, законодательства, общепризнанных принципов и норм международного права. Ст.29 Конституции РФ гласит, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
Открытость в реализации функций федеральных органов власти и общественных объединений, предусматривающая информированность общества об их деятельности с учетом ограничений, установленных законодательством РФ.
Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса.
Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.

Доктриной определены следующие функции государства в области ИБ:

осуществлять контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области безопасности.
проводить необходимую протекционистскую политику в отношении производителей средств информации и защиты информации на территории РФ и защищать внутренний рынок от проникновения на него некачественных информационных продуктов и средств информатизации.
способствовать предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам и глобальным информационным сетям.

Мероприятия по реализации государственной политики обеспечения информационной безопасности РФ, определяемые Доктриной:

Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере.
Принятие и реализация федеральных программ в области повышения правовой культуры и компьютерной грамотности граждан, создание безопасных ИТ, обеспечение технологической независимости страны в области создания и эксплуатации информационно – технологических систем оборонного значения.
Гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизирующих систем управления, информационных и телекоммуникационных систем общего и специального значения.

К первоочередным задачам в области обеспечения информационной безопасности, согласно выводам отнесены:

разработка и внедрение механизмов реализации действующего законодательства, регулирующего отношения в информационной сфере;
пресечение компьютерной преступности (включая методическое и технологическое обеспечение следственной, оперативно-розыскной деятельности правоохранительных органов, специальных служб, судебных разбирательств, в том числе подготовку кадров в этой сфере);
повышение правовой и информационной культуры, а также компьютерной грамотности граждан.

К объектам государственной защиты в области информационной безопасности РФ относятся:

Все виды информационных ресурсов (ИР)
Права граждан, юридических .лиц, государства на получение, распространение, использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Система формирования, распространения, использования ИР, включающая ИС разного класса и назначения, библиотеки, архивы, БД и БнД, ИТ, регламенты и процедуры сбора, обработки и передачи, хранения информации, научно-технический персонал.
Информационная инфраструктура, включающая. центры обработки и анализа информации, каналы информационного обмена, системы и средства защиты информации.
Система формирования общественного сознания (мировоззрение, общественные ценности, социально допустимые стереотипы поведения)

В соответствии с концепцией информационной безопасности основные положения государственной политики в области защиты информации заключается в следующем:

Ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства.
Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется.
Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляется с учетом определенного законом права собственности на эту информацию.
Государство формирует нормативно – правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере.
Государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации.
Государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информации и защиты информации.
Государство способствует предоставлению гражданам доступа к МИР, глобальным информационным сетям.
Государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации.
Государство формирует федеральную программу информационной безопасности, объединяющую усилия государственных организаций и коммерческих структур.

2.2 Правовая основа системы лицензирования и сертификации в РФ

Для обеспечения защиты государственной тайны и конфиденциальной информации в РФ действует Государственная система защиты информации (ГСЗИ), которая включает:

совокупность органов (ФСБ, ФСТЭК, СБ), сил и средств, осуществляющих деятельность в области защиты информации (ЗИ);
систему лицензирования деятельности в области ЗИ;
систему сертификации средств ЗИ;
систему подготовки и переподготовки специалистов в области ЗИ.

Необходимость введения государством механизма лицензирования и сертификации в области защиты информации определяется следующими причинами:

выполнение работ, в процессе реализации которых могут использоваться сведения, составляющие государственную тайну, может осуществляться, наряду с государственными учреждениями и организациями, - предприятиями и учреждениями негосударственного сектора, как это принято в большинстве цивилизованных стран;
органы государственной власти, Вооруженные Силы и спецслужбы перестали быть исключительными потребителями средств ЗИ.

Ныне эти средства в значительных объемах востребованы организациями финансово-кредитной сферы и предпринимательскими структурами, а в ближайшем будущем получат распространение среди граждан РФ. Наиболее приемлемым, а может быть и единственно приемлемым способом воздействия государства на данную сферу, установления разумного контроля в этой области является формирование системы лицензирования.

Лицензирование - это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования.

Лицензия - документ, дающий право на осуществление указанного вида деятельности в течении определенного времени.

Перечень видов деятельности в области ЗИ, на которые выдаются лицензии, определен Законом РФ - "О лицензировании отдельных видов деятельности", принятом в августе 2001 года. К ним, в частности, относится разработка, производство, реализация и сервисное обслуживание:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности в области ЗИ:

разработка, производство, распространение, техническое обслуживание и предоставление услуг в области шифрования информации; шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
деятельность по технической защите конфиденциальной информации;
разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Срок действия лицензии не может быть менее чем пять лет и может быть продлен по заявлению лицензиата. Продление срока действия лицензии осуществляется в порядке переоформления документа, подтверждающего наличие лицензии. За рассмотрение лицензирующим органом заявления о предоставлении лицензии взимается лицензионный сбор в размере 300 рублей. За предоставление лицензии взимается лицензионный сбор в размере 1000 рублей.

Сертификация - это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.

Сертификат на средство ЗИ - документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.

Законодательной и нормативной базой лицензирования и сертификации в области ЗИ являются следующие документы.

Законы РФ:

"О государственной тайне" № 5485-1 от 21.07.93;
"О сертификации продукции и услуг" №5151-1 от 10.06.93;
"О защите прав потребителей" № 2300-1 от 07.02.92;
"Об информации, информационных технологиях и защите информации" 2006;
"О стандартизации" № 5154-1 от 10.06.93.
“О лицензировании отдельных видов деятельности”, от 8.08 2001г. №128 (ред. от 11.03.2003г. №32);

Постановления Правительства РФ:

"О лицензировании отдельных видов деятельности" № 1418 от 24.12.94;
"О лицензировании деятельности предприятий..." № 333 от 15.04.95;
"О сертификации средств ЗИ" № 608 от 26.06.95. (ред. №509 от 23.04.96.)

А также Указы Президента РФ, и ряд подзаконных актов.

Система лицензирования построена на следующих основных принципах:

Лицензирование в области ЗИ является обязательным.
Деятельность в области ЗИ физических и юридических лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям).
Лицензии на право деятельности в области ЗИ выдаются только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить установленным требованиям).
Лицензии выдаются только предприятиям, зарегистрированным на территории РФ.
Лицензии выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителя пред приятия.
Для получения лицензии предприятие обязано предъявить определенный перечень документов.

К заявлению на получение лицензии необходимо приложить следующие документы:

копия свидетельства о государственной регистрации предприятия;
копии учредительных документов, заверенных нотариусом;
копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
справка налогового органа о постановке на учет;
представление органов государственной власти РФ с ходатайством о выдаче лицензии;
документ, подтверждающий оплату рассмотрения заявления.

Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, предъявляются требования по:

наличию и составу необходимых аппаратно-программных средств и помещений; размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ;
обеспечению режима и порядка доступа к средствам криптографической ЗИ; обеспечению необходимой технической и эксплуатационной документацией;
уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС);
режиму эксплуатации и хранения средств криптографической ЗИ.

Система лицензирования обеспечивает в отношении АС выполнение 3 основных требований к защищаемой информации:

доступность;
целостность;
конфиденциальность.

Лицензирование в области производства средств ЗИ и на предмет предоставления услуг в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.

Правовая база защиты информации в РФ

1.Закон РФ "О Государственной тайне" (в ред. - Федерального закона от 06.10.97 N 131-ФЗ)

2. Закон РФ "О коммерческой тайне" (от 29 июля 2004г.)

3.Закон РФ "О техническом регулировании" (от 27 декабря 2002 г. N 184-ФЗ)

4.Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ №24-ФЗ от 2006г.

5.Закон РФ "Об электронной цифровой подписи" (ФЗ РФ №1-ФЗ от 10.01.02. Принят Гос. Думой 13.12.01)

6..Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных" (Закон РФ N 3523-1. Дата введения 23.09.92)

7..Закон РФ "Об участии в международном информационном обмене" (Федеральный Закон РФ N 85-ФЗ. Принят Гос. Думой 04.07.96)

8..Закон РФ "О сертификации продукции и услуг" (Закон РФ N 5151-1. Дата введения 10.06.93. В ред. Федерального Закона N 211-ФЗ от 27.12.95)

9..Закон РФ "О банках и банковской деятельности" (Закон РФ N 395-1. Дата введения 02.12.90.В ред.Федерального закона от 03.02.96 № 17-ФЗ

10. .Закон РФ «О персональных данных» 2006 г.

Ответственность за компьютерные преступления предусматривает уголовный кодекс.

Статья 272: неправомерный доступ к компьютерной информации.

Статья 273: создание, использование и распространение вредоносных программ для ЭВМ.

Статья 274: нарушение правил эксплуатации ЭВМ, средств связи ЭВМ или их сети.

2.3 Категории информации

Информация с ограниченным доступом.
Информация без права ограничения: доступ не может быть ограничен (законы, положения, конституция).
Иная общедоступная информация.
Вредная информация, то есть не подлежащая распространению как ложная.

Информацию с ограниченным доступом можно разделить на два вида

Государственная, военная, экономическая, разведывательная тайны. Их распространение наносит ущерб безопасности страны.
Конфиденциальная информация.

Правовое регулирование института тайн в РФ.

В перечне сведений конфиденциального характера, утвержденного президентом РФ 6 марта 1996 №188, приведены следующие виды конфиденциальной информации:

Служебная тайна
Персональные данные
Тайна следствия
Коммерческая тайна
Тайна сущности изобретения до момента опубликования
Профессиональная тайна.
Банковская тайна.

Декларировано в других законах 30 видов тайн, а с учетом подзаконных актов – 40.

Вид тайны	Краткое содержание	Ссылка на правовой документ
Персональные данные	О фактах, событиях жизни гражданина, позволяющая идентифицировать личность	Ст 2 Закона об информатизации
Служебная тайна	Если информация имеет действительную или коммерческую потенциальную ценность	Ст.139 Гражданского кодекса
Тайна усыновления		Ст.139 Семейного кодекса
Геологическая информация о недрах		Ст.27 Закона о недрах
Налоговая	Любые полученные налоговые сведения о налогоплательщике за исключением сведений, указ в с.т 102 налогового кодекса
Служебная информация о рынке ценных бумаг	Любая не являющаяся общедоступной информация об эмитентах выпущенных ценных бумаг.	Ст.31 Закона о рынке ценных бумаг
Врачебная	Диагноз, состояние здоровья при обследовании	Ст 62 Основ зак-ва РФ «Об охране здоровья граждан»
Связи	Тайна переписки, телефонных разговоров по сетям электрической и почтовой связи	Ст.32 О связи , Конституция РФ
Нотариальная	Сведения в результате осуществления деятельности нотариусом	Ст16 О нотариате
Адвокатская	Сведения, полученные адвокатом	Ст15,16 Положения об адвокатуре
Журналистская	Сведения, предоставленные журналистам на условии тайны источниками информации	Ст 41, Закон «О СМИ»
Коммерческая	Если информация имеет действительную или потенциальную ценность в коммерческой сфере.	Ст 139 ГКРФ
Банковская	Банк гарантирует тайну счета, вклада, операции, сведений.
Тайна страхования	Сведения о страховании и имущественном положении.

Приведенный перечень тайн может потребоваться для того, чтобы поставить перед администрацией предприятия вопрос об обеспечении соответствующей защиты информации.

Конфиденциальной считается такая коммерческая информация, разглашение которой может нанести ущерб интересам фирмы. Делится на два подвида:

Информация с ограниченным доступом: сведения, разглашения которых причиняет ущерб тактическим интересам, таким как срыв конкретного контакта, снижение % прибыли от сделки.
Секретная информация: ее разглашение наносит серьезный ущерб стратегическим интересам фирмы и может поставить под угрозу ее существование. Ее составляют сведения, ознакомление с которыми позволяет конкурентам, неразборчивым в средствах, подорвать репутацию фирмы в глазах партнеров, причинить ей значительный финансовый ущерб, привести к конфликту с государственными органами, поставить в зависимость от криминальных структур.

Определение степени конфиденциальности служебной и коммерческой информации осуществляется руководством фирмы, как правило. Однако в любом случае к такой относится:

уставные документы фирмы;
сводные отчеты о финансовой деятельности;
кредитные договора с банками
договоры купли-продажи, начиная с определенной суммы;
сведения о перспективных рынках сбыта, источниках сырья, о выгодных партнерах;
любая информация, предоставляемая партнерами, если за ее разглашение предусмотрены штрафные санкции.

Нормативно техническая база защиты информации в России.

В состав документов, определяющих нормативно-техническую базу ЗИ в России входят стандарты, отраслевые материалы, в частности материалы Гостехкомиссия России:

Документы Государственной технической комиссии (Гостехкомиссия) при президенте РФ

Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 1992.
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. 1992
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности. 1992
рабочий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.

Порядок сертификации средств защиты определяется документом «Система сертификации средств защиты информации по требованиям безопасности информации» РОСС RU.0001.01БИ00.

Перечень нормативных документов постоянно расширяется с учетом новых требований к информационной безопасности и тенденций изменения информационных технологий.

Для установления единых требований по обеспечению ИБ организаций БС РФ и повышения эффективности мероприятий по поддержанию ИБ организаций банковской системы РФ был разработан и введен в действие Распоряжением Банка России от 18 ноября 2004 года № Р-609 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный стандарт получил учетный номер СТО БР ИБ БС-1.0-2004 и опубликован в журнале «Вестник Банка России» № 68.

В настоящее время готовятся к изданию новые руководящие документы, регламентирующие требования по безопасности информации для VPN и VLAN (глобальные и локальные сети) решений. Ведутся работы по адаптации отечественной нормативной базы в области информационной безопасности к требованиям международного стандарта.

Ключевым аспектом решения проблемы безопасности информационных технологий (ИТ) является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ. Необходимо было разработать эту систему в виде международного стандарта.

История создания данного стандарта. В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC). В Европе в 1991г. были разработаны "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, совместно Францией, Германией, Нидерландами и Великобританией. В Канаде в начале 1993 г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0. В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки. В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1.0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2.0 ОК появилась в октябре 1997 г.

В результате этих работ появился Международный стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии".

В России аналогичный стандарт подготовлен в 2001 г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий».

Данный стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ.

ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК

ОК безопасности продуктов и систем ИТ предназначены в основном для потребителей, разработчиков и оценщиков.

ОК предоставляют потребителям, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки.

Кроме указанного выше, используется также ГОСТ Р50922-96 «Защита информации. Основные термины и определения».

В настоящее время разработан и действует еще один международный стандарт ISO/IEC 17799 "Безопасность информационных систем".

Гармонизация российских стандартов с международными стандартами:

ГОСТ Р ИСО/МЭК 15408 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ».

Состоит из 3 частей: