Президента Российской Федерации №24 от 10. 01. 2000 года. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации №1895 от 09. 09. 2000 года. Федеральный закон

Вид материала

Закон

Содержание Основные принципы международного права в сфере ИБ Основные задачи таких сообществ Информационная война Закон «О государственной тайне» Носитель сведений Система защиты государственной тайны Допуск к государственной тайне Доступ к государственной тайне Гриф секретности Средства защиты информации Перечень сведений, составляющих государственную тайну Авторские и патентные права Объекты интеллектуальной собственности

Подобный материал:

• Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 217.72kb.
• Доктрина информационной безопасности российской федерации, 585.01kb.
• Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 200.88kb.
• Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 220.29kb.
• Разработана с учетом Стратегии национальной безопасности Российской Федерации до 2020 года,, 3232.54kb.
• Указом Президента Российской Федерации от 1 февраля 2005 года №112. Основные термины, 120.06kb.
• Название документа постановление правительства РФ от 15. 12. 2000 n 973, 395.31kb.
• Министерство обороны российской федерации концептуальные взгляды на деятельность вооруженных, 158.97kb.
• Указом Президента Российской Федерации от 01. 12. 2005 №112 о конкурс, 58.15kb.
• #G0 указ президента российской федерации о милиции общественной безопасности (местной, 234.16kb.

Основные принципы международного права в сфере ИБ

Принцип I

1. Деятельность государств и иных субъектов международного права в международной информационной сфере должна способствовать всеобщему социальному и экономическому развитию и осуществляться в соответствии с задачами сохранения глобальной стабильности и безопасности с соблюдением суверенитета других государств, а также принципов мирного урегулирования споров и конфликтов, невмешательство во внутренние дела других государств.
   
2. В то же время любые государства и иные субъекты международного права должны иметь равные права на защиту своих информационных ресурсов и жизненно важных структур от незаконного использования и несанкционированного информационного вмешательства и могут рассчитывать на поддержку мирового сообщества.
   

Принцип II

Преамбула – обязательства государств в сфере ИБ.

Государства будут стремиться сдерживать угрозы в сфере международной ИБ и будут с этой целью воздерживаться от следующих действий:

1. подрывы психологической и духовной обстановки в обществе
   
2. разрушение традиционных, культурных, моральных, этических и эстетических ценностей
   
3. разработка, создание и применение средств воздействия или нанесения ущерба информационным ресурсам и системам другого государства
   
4. использование информации для подрыва политической, экономической и социальной системы другого государства
   
5. психологическое манипулирование населением с целью его дестабилизации
   
6. запрещение доступа к новейшим информационным технологиям и создание ситуации, в которой другие государства попадают в противоречащую их интересам технологическую и информационную зависимость в информационной сфере
   

Принцип III

Связан с мировым сообществом и направлен на формирование законодательной базы в сфере ИБ, которую необходимо строить на базе международных объединений и сообществ, среди которых наиболее крупным является ООН.

Основные задачи таких сообществ:

1. определение характеристик и создание классификации информационных войн
   
2. определение характеристик и создание классификации информационного оружия, а также методов и средств, которые могут рассматриваться как информационное оружие
   
3. разработка нормативных документов, запрещающих разработку, распространение и применение информационного оружия
   
4. разработка нормативных документов по приравниванию угрозы применения информационного оружия против жизненно важных структур государства к угрозе применения оружия массового поражения
   
5. разработка законодательных процедур взаимного оповещения и предотвращения несанкционированного использования информации для воздействия на другие государства
   
6. создание международной системы мониторинга для отслеживания угроз в сфере информации и механизма соблюдения этих условий
   
7. создание механизма и международной системы сертификации информации и телекоммуникационных технологий и средств, включая технику и программное обеспечение, с целью гарантии их ИБ
   
8. создание системы международного сотрудничества между силовыми органами с целью предотвращения и борьбы с преступлениями в информационной сфере
   

Принцип IV

Принцип ответственности государств перед международным сообществом в сфере ИБ. Государство и иные субъекты международного права должны нести международную ответственность за деятельность в информационной сфере, осуществляемую ими или под их юрисдикцией или под эгидой международных организаций, членами которых они являются.


Принцип V (принцип мирного сосуществования)

Любой спор между государствами и иными субъектами международных отношений, возникший в связи с применением настоящих принципов, должен быть урегулирован на основании процедур мирного разрешения споров.


Информационная война

Информационная война – это комплекс мероприятий по достижению информационного превосходства путем воздействия на информацию, информационные процессы, информационные системы и компьютерные сети противника при одновременной защите своей информации, информационных процессов, информационных систем и компьютерных сетей.

В рамках информационной войны проводятся мероприятия наступательного и оборонительного характера. Соответственно совершенствуются уже существующие и активно разрабатываются новые оборонительные и наступательные средства ведения информационного противоборства, которые позволят достичь информационное превосходство над противником.


Виды угроз ИБ РФ

1. Угроза конституционным правам и свободам человека и гражданина РФ в информационной деятельности. Угроза свободе человека и гражданина в области духовной жизни.
   
2. Угроза информационному обеспечению государственной политики РФ.
   
3. Угрозы, связанные с развитием отечественной информационной индустрии, включая индустрию средств информатизации, телекоммуникации и связи.
   
4. Угроза, связанная с развитием конкурентоспособной, имеющей выход на мировой рынок информационной индустрии.
   
5. Угроза безопасности деятельности информационных и телекоммуникационных систем и средств.
   
6. Угроза безопасности государственной политики РФ от внешних источников
   

Закон «О государственной тайне» (21 июня 1991г)

Изменения – 6 октября 1997г.


Раздел 1 Основные понятия

Статья 2

Государственная тайна – защищаемые государственные сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Носитель сведений – это материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.

Допуск к государственной тайне – процедура оформления права гражданина на доступ к сведениям, составляющим государственную тайну, а также предприятий, учреждений и организаций на проведение работ с использованием таких сведений.

Доступ к государственной тайне – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Перечень сведений, составляющих государственную тайну – это совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленном федеральным законодательством.


Статья 3

На чем основывается закон:

• Конституция
  
• Закон «О безопасности»
  

Статья 4

Полномочия государственных органов РФ


Раздел 2

Перечень сведений, составляющих государственную тайну:

1. сведения военной области
   
2. сведения о методах и средствах
   
3. сведения об организации и фактическом состоянии защиты государственной тайны
   
4. сведения о защите государственной границы, исключительной экономической зоны и континентального шельфа РФ
   
5. сведения о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности РФ
   
6. сведения о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства
   

Раздел 3 Отнесение сведений к государственной тайне


Статья 8

Грифы секретности:

• ОВ (особой важности)
  
• СС (совершенно секретно)
  
• С (секретно)
  

Статья 9

Порядок внесения сведений


Статья 10

Права собственности граждан и предприятий на государственную тайну.


Статья 11

Порядок засекречивания сведений и носителей


Статья 12

Реквизиты носителей сведений


Раздел 4 Рассекречивание сведений и их носителей


Статья 13

Порядок рассекречивания сведений


Статья 14

Порядок рассекречивания сведений, носителей, составляющих государственную тайну


Статья 15

Разрешает рассекречивание:

• Каждый орган, физическое или юридическое лицо имеет право обратиться с просьбой засекретить данные (статья позволяет людям получить доступ к данным через их рассекречивание)
  
• Органы в течение трех месяцев должны обосновать ответ
  
• Рассекречивание информации через суд
  

Раздел 5 Рассекречивание данных, составляющих государственную тайну


Статья 16 передача сведений, составляющих государственную тайну, органами государственной власти, предприятиями и другими организациями – передача сведений между различными органами, не подчиненными друг другу, только с разрешения ведомства.

Органы государственной власти, предприятия и другие организации обязаны создать условия защиты данных, их руководители несут персональную ответственность за несоблюдение условий защиты.

Условия:

• Ознакомление с документами
  
• Защищенность помещения
  
• Права лица
  

Должна быть служба безопасности, исполняющая эти требования.


Статья 17

Передача сведений, составляющих государственную тайну, организациям или гражданам в связи с выполнением совместных и других работ, осуществляется заказчиком этих работ с разрешения органа власти, в распоряжении которого находятся соответствующие требования, и только в объеме, необходимом для выполнения этих работ. При этом до передачи этих сведений заказчик обязан убедиться в наличии у предприятий, организаций лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у граждан соответствующего допуска.

Организация контроля за эффективностью защиты возлагается на заказчика. При нарушении правил заказчик имеет право приостановить работы, а при втором разе заказчик имеет право аннулировать договор с восстановлением материального ущерба (лишение лицензии).


Раздел 6 Защита государственной тайны

• Межведомственная комиссия
  
• Органы государственной власти
  

Защита государственной тайны является лишь основной деятельностью органов государственной власти.


Статья 21

Допуск к государственной тайне могут иметь:

• Члены Совета Федерации
  
• Депутаты Государственной Думы
  
• Судьи в период исполнения своих полномочий
  
• Адвокаты, участвующие в качестве защиты в уголовном делопроизводстве по делам, связанным со сведениями, составляющими государственную тайну
  

Сохранность государственной тайны в таких случаях гарантируется путем установления ответственности указанных лиц федеральным законом.

Для должностных лиц и граждан, допущенных к сведениям, составляющим государственную тайну, устанавливаются некоторые льготы.


Статья 22

Основания для отказа в допуске к сведениям, составляющим государственную тайну:

• Недееспособность
  
• Наличие судимости
  
• Нахождение под судом
  
• Медицинские противопоказания (психические заболевания и др.)
  

В результате возникают ограничения на свободу деятельности:

• Постоянное проживание лица или родственников за границей
  
• Уклонение от проверочных мероприятий, сокрытие некоторых сведений
  
• Создание угрозы государству
  

Решение об отказе принимается руководителем органа государственной власти, но оно может быть обжаловано в суде.


Статья 23

Условия прекращения допуска должностного лица или гражданина (решение принимается руководителем):

• Однократное нарушение
  
• Условия в статье 22
  
• Неразглашение сведений в течение 50 лет
  

Это решение может быть обжаловано в вышестоящих органах или в суде.


Статья 24

Ограничение прав должностного лица или гражданина, допущенных или допускавшихся ранее:

• Право выезда за границу
  
• Право на распространение сведений, составляющих государственную тайну
  
• Право на неприкосновенность частной жизни на время получения допуска
  

Статья 26 Ответственность за нарушение законодательства РФ. Виновные несут уголовную, административную ответственность (все виды ответственности).


Статья 28 Порядок сертификации.


Раздел 7

Статья 29 Финансирование органов государственной власти.


Раздел 8

Статья 30 Парламентский контроль

Статья 31 Межведомственный контроль

Статья 32 Прокурорский контроль


Авторские и патентные права

Интеллектуальная собственность – совокупность прав на результаты интеллектуальной деятельности (произведения, фонограммы, изобретения и т.д.) и средства индивидуализации (товарный знак, фирменное наименование).


Объекты интеллектуальной собственности:

1. объекты авторского права (произведения науки, искусства, литературы, базы данных для ЭВМ)
   
2. объекты смежных прав (исполнения, фонограммы, телевизионные и радиопередачи)
   
3. объекты патентного права (изобретения, промышленные образцы, средства индивидуализации, товарные знаки, знаки обслуживания и т.д.)
   
4. нетрадиционные объекты относительно новизны законодательства (селекционные достижения, топология интегральных микросхем, открытия, рациональные предложения)
   

Под произведением обычно понимается некий нематериальный объект.


Авторские права:

1. личные неимущественные права (моральные). Их у автора отобрать нельзя:
   
   • право авторства
     
   • право на имя
     
   • право на обнародование
     
   • право на защиту произведений
     
   • право доступа и т.д.
     
2. комплекс имущественных прав, позволяющий автору и его правопреемникам контролировать использование произведения, доводить произведение до публики, а также контролировать получение материальных средств:
   

• воспроизведение
  
• распространение
  
• публичный показ
  
• передача в эфир
  
• сообщение для всеобщих сведений по кабелю
  
• перевод или переработка произведений
  

Права исполнителей произведений

Возникают с момента исполнения ими произведения литературы и искусства


Авторское право закрепляет за исполнителем:

1. моральные права
   
   • право на имя
     
   • право на защиту своего исполнения от искажений и иного посягательства
     
2. комплекс имущественных прав, позволяющих исполнителю и его правопреемникам контролировать использование записи:
   

• воспроизведение
  
• распространение
  
• передача в эфир
  
• сообщение по кабелю
  

Стандарты и классы защищенности информационных систем

1. Концепция защиты от НСД к информации.
   
2. Средства вычислительной техники. Защита от НСД к информации.
   
3. Автоматизированные системы. Защита от НСД к информации.
   

В «Концепции защиты от НСД к информации» прописаны основные положения по требованию к защите.

Основные требования:

• полнота охвата правил разграничения доступа к информационным системам и степень качества разграничения доступа;
  
• обращение основного внимания на состав и качество обеспечивающих средств для системы разграничения доступа (программные и аппаратные средства);
  
• гарантия правильности функционирования системы разграничения доступа и обеспечивающих ее средств.
  

Данная концепция подчеркивает следующее: все как вычислительные, так и информационные средства должны быть подвержены определенным гарантийным требованиям.

Все эти документы были изданы и приняты в 1992 году, в основе этих документов лежат документы (американского законодательства), принятые еще в 1983 году. Это руководство, которое вышло в Америке — «Trance computer Systems Evolution Criterions» или «Оранжевая книга»; в ней вводятся понятия политики безопасности, уровни защищенности систем и 7 классов защищенности информационных систем.

Политика безопасности — набор законов и норм поведения и правил, определяющих, как организация обрабатывает, защищает и распространяет информацию.

4 группы защищенности информации:

1. Группа общего пользования. D
   
2. Группа произвольного управления доступом. C
   
3. Группа принудительного управления доступом. B
   
4. Группа верифицируемой безопасности. A
   

Каждой из этих групп присвоены соответственно индексы D, C, B, A.

Под произвольным управлением доступа понимается метод разграничения доступа к объектам, основанный на учете личности субъекта или группы. Необходимо реализовать следующие механизмы, прежде чем перейти к принудительному разграничению доступа:

• Безопасность повторного использования информации: если имеется информационная система, то должно быть наличие информационных средств, позволяющих удалять или уничтожать из информационной базы использованные информационные ресурсы;
  
• Обеспечение метки безопасности:
  

Метка безопасности состоит из двух уровней:

1. уровень секретности объекта
   
2. список доступа субъекта
   

Метка субъекта преобладает или превалирует над меткой объекта.

Механизм принудительного доступа означает сопоставление меток безопасности объекта и субъекта.

7 классов защищенности информационных систем включают 4 группы защищенности информации. Последний седьмой класс включает D-группу общего пользования.

Группа C включает два класса:

• C1 по уровню ниже, чем C2
  
• C2
  

Требования класса C1:

• Вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
  
• Пользователи должны идентифицировать себя прежде, чем приступить к работе;
  
• Система должна обладать программно-аппаратными средствами для периодического тестирования корректности функционирования;
  
• Наличие программных и аппаратных средств от внешнего воздействия.
  

Требования класса C2:

• Требования класса C1;
  
• Права доступа должны быть сопоставимы с точностью до пользователя;
  
• Все объекты информационной системы должны подвергаться контролю доступа;
  
• При выделении или уничтожении объекта из информационных ресурсов необходимо ликвидировать все его следы и пути исправления;
  
• Вычислительная система должна создавать, поддерживать и защищать журнал регистрационной информации;
  
• Каждый пользователь должен иметь уникальный идентификационный номер.
  

Группа B включает 3 класса:

• B1 по
  
• B2 возрастанию
  
• B3 уровня защищенности
  

Требования класса B1:

• Требования классов С1 и С2;
  
• Вычислительная система должна управлять метками безопасности и сопоставлять их между собой;
  
• Вычислительная система должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.
  

Требования класса B2:

• Требования класса B1;
  
• Метки должны быть проставлены на все ресурсы системы, которые прямо или косвенно могут быть доступны;
  
• Должен быть прописан для пользователя коммуникационный путь, и система должна поддерживать этот путь;
  
• В системе должна быть предусмотрена регистрация событий, связанных с отклонением от прописанных коммуникационных путей, а также регистрация возможных сбоев и нарушений;
  
• Должны быть в наличие тесты, определяющие действенность мер по защите информационных систем;
  
• Должен выполняться механизм администрирования системы с анализом всех нарушений.
  

Требования класса B3:

• Требования класса B2;
  
• Обязательное ведение списка управления доступом с указанием режима доступа;
  
• В данной системе должна быть обязательна в наличии регистрация появления и накопления событий, несущих угрозу информационной системе;
  
• Должна быть специфицирована роль администратора безопасности, который имеет специфические обязанности, доступ ко всем пространствам и структурам;
  
• Администратор должен быть тем доверенным лицом, который регламентирует действия всей информационной системы;
  
• Должны существовать процедуры и механизмы, позволяющие произвести восстановление информационной системы после сбоя или иного нарушения (даже восстановленная физическая защита должна обязательно существовать);
  
• Должна быть предусмотрена устойчивость информационной системы к попыткам проникновения.
  

Требования класса А1:

• Требования предыдущих классов;
  
• Механизм конфигурационного и архитектурного управления должен распространяться на весь жизненный цикл и все компоненты системы;
  
• Должно быть в наличии периодическое тестирование, проверяющее все элементы информационной системы и всю информационную систему в целом;
  
• Должны быть предусмотрены наиболее современные программно-аппаратные средства защиты от НСД;
  
• Должно быть предусмотрено полное описание всех информационных потоков в информационной системе.
  

Концепция защиты от НСД к информации

Основные требования:

• полнота охвата правил разграничения доступа к информационным системам и степень качества разграничения доступа;
  
• обращение основного внимания на состав и качество обеспечивающих средств для системы разграничения доступа (программные и аппаратные средства);
  
• гарантия правильности функционирования системы разграничения доступа и обеспечивающих ее средств;
  
• полное описание функциональной возможности информационной системы и правил тестирования, указывающих на правильное функционирование системы.
  

Группы защищенности информации:

1. группа общего пользования 7 класс
   
2. группа дискретного доступа 6, 5 классы
   
3. группа мандатная (метка субъекта преобладает над меткой объекта) 4,3,2 классы
   
4. группа верифицированного доступа 1 класс
   

Показатель	Классы
	6	5	4	3	2	1
конструкторская и проектная документация	+	+	+	+	+	+
руководство пользователя	+	+	+	+	+	+
тестовая документация	+	+	+	+	+	+
руководство по комплексам средств защиты	+	+	+	+	+	+
дискреционный принцип контроля доступа	+	+	+	+	+	+
мандатный принцип контроля доступа	-	-	+	+	+	+
очистка памяти	-	+	+	+	+	+
маркировка документов	-	-	+	+	+	+
изоляция модулей	-	-	+	+	+	+
защита ввода/вывода информации на отчуждаемый носитель	-	-	+	+	+	+
сопоставление пользователя с устройством	-	-	+	+	+	+
идентификация и аутентификация	+	+	+	+	+	+
гарантия проектирования	-	+	+	+	+	+
регистрация/ведение журнала	-	+	+	+	+	+
взаимодействие пользователя с комплексом средств защиты	-	-	-	+	+	+
надежное восстановление	-	-	-	+	+	+
целостность комплекса средств защиты	-	+	+	+	+	+
контроль модификации информационной системы	-	-	-	-	+	+
контроль дистрибуции (распространения)	-	-	-	-	+	+
гарантия архитектуры	-	-	-	-	-	+
тестирование	+	+	+	+	+	+