Президента Российской Федерации №24 от 10. 01. 2000 года. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации №1895 от 09. 09. 2000 года. Федеральный закон
Вид материала | Закон |
- Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 217.72kb.
- Доктрина информационной безопасности российской федерации, 585.01kb.
- Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 200.88kb.
- Президента Российской Федерации в федеральном округе, утвержденное Указом Президента, 220.29kb.
- Разработана с учетом Стратегии национальной безопасности Российской Федерации до 2020 года,, 3232.54kb.
- Указом Президента Российской Федерации от 1 февраля 2005 года №112. Основные термины, 120.06kb.
- Название документа постановление правительства РФ от 15. 12. 2000 n 973, 395.31kb.
- Министерство обороны российской федерации концептуальные взгляды на деятельность вооруженных, 158.97kb.
- Указом Президента Российской Федерации от 01. 12. 2005 №112 о конкурс, 58.15kb.
- #G0 указ президента российской федерации о милиции общественной безопасности (местной, 234.16kb.
Основные документы в области обеспечения информационной безопасности РФ.
Федеральный закон «Об информации, информатизации и защите информации».
Принят Государственной Думой 25 января 1995 года.
Концепция национальной безопасности Российской Федерации.
Утверждена Указом Президента Российской Федерации № 24 от 10.01. 2000 года.
Доктрина информационной безопасности Российской Федерации.
Утверждена Указом Президента Российской Федерации №1895 от 09.09. 2000 года.
Федеральный закон «Об информации, информатизации и защите информации».
1 глава. Общие положения.
2 глава. Информационные ресурсы.
3 глава. Пользование информационными ресурсами.
4 глава. Информатизация, информационные системы, технология и средства их обеспечения.
5 глава. Защита информации и прав субъектов в области информационных процессов и информатизации.
Настоящий Федеральный закон касается только тех процессов, которые связаны с формированием и использованием информационных ресурсов. Он не затрагивает отношений, регулируемых Законом Российской Федерации «Об авторском праве и смежных правах». Например: интеллектуальная собственность, авторское право. К данному закону относятся понятия: накопление, хранение, передача информации и т.д.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;
Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
Информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
Информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
Средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи;
словари, тезаурусы и классификаторы; инструкции и методики;
положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом;
Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Из данного закона следует, что государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития Российской Федерации.
Основные направления государственной политики в сфере информатизации.
1. Обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;
2. Формирование и защита государственных информационных ресурсов;
3. Создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации;
4. Создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;
5. Обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;
6. Содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;
7. Формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
8. Поддержка проектов и программ информатизации;
9. Создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;
10. Развитие законодательства в сфере информационных процессов, информатизации и защиты информации.
Концепция национальной безопасности Российской Федерации.
1 глава. Россия в мировом сообществе.
2 глава. Национальные интересы России.
3 глава. Угрозы национальной безопасности Российской Федерации.
4 глава. Обеспечение национальной безопасности Российской Федерации.
1 глава. Россия в мировом сообществе.
Россия является одной из крупнейших стран мира с многовековой историей и богатыми культурными традициями. Несмотря на сложную международную обстановку и трудности внутреннего характера, она в силу значительного экономического, научно-технического и военного потенциала, уникального стратегического положения на Евразийском континенте объективно продолжает играть важную роль в мировых процессах.
В перспективе - более широкая интеграция Российской Федерации в мировую экономику, расширение сотрудничества с международными экономическими и финансовыми институтами. Объективно сохраняется общность интересов России и интересов других государств по многим проблемам международной безопасности, включая противодействие распространению оружия массового уничтожения, предотвращение и урегулирование региональных конфликтов, борьбу с международным терроризмом и наркобизнесом, решение острых экологических проблем глобального характера, в том числе проблемы обеспечения ядерной и радиационной безопасности.
Вместе с тем активизируются усилия ряда государств, направленные на ослабление позиций России в политической, экономической, военной и других областях. Попытки игнорировать интересы России при решении крупных проблем международных отношений, включая конфликтные ситуации, способны подорвать международную безопасность и стабильность, затормозить происходящие позитивные изменения в международных отношениях.
2 глава. Национальные интересы России.
Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах.
3 глава. Угрозы национальной безопасности Российской Федерации.
Угрозы национальной безопасности подразделяются на внутренние (в сфере экономики, в социальной сфере) и внешние.
Внутренние угрозы:
В сфере экономики угрозы имеют комплексный характер и обусловлены прежде всего существенным сокращением внутреннего валового продукта, снижением инвестиционной, инновационной активности и научно-технического потенциала, стагнацией аграрного сектора, разбалансированием банковской системы, ростом внешнего и внутреннего государственного долга, тенденцией к преобладанию в экспортных поставках топливно-сырьевой и энергетической составляющих, а в импортных поставках - продовольствия и предметов потребления, включая предметы первой необходимости.
Ослабление научно-технического и технологического потенциала страны, сокращение исследований на стратегически важных направлениях научно-технического развития, отток за рубеж специалистов и интеллектуальной собственности угрожают России утратой передовых позиций в мире, деградацией наукоемких производств, усилением внешней технологической зависимости и подрывом обороноспособности России. Негативные процессы в экономике лежат в основе сепаратистских устремлений ряда субъектов Российской Федерации. Это ведет к усилению политической нестабильности, ослаблению единого экономического пространства России и его важнейших составляющих - производственно-технологических и транспортных связей, финансово-банковской, кредитной и налоговой систем.
Экономическая дезинтеграция, социальная дифференциация общества, девальвация духовных ценностей способствуют усилению напряженности во взаимоотношениях регионов и центра, представляя собой угрозу федеративному устройству и социально-экономическому укладу Российской Федерации.
Единое правовое пространство страны размывается вследствие несоблюдения принципа приоритета норм Конституции Российской Федерации над иными правовыми нормами, федеральных правовых норм над нормами субъектов Российской Федерации, недостаточной отлаженности государственного управления на различных уровнях.
Угроза криминализации общественных отношений, складывающихся в процессе реформирования социально-политического устройства и экономической деятельности, приобретает особую остроту. Масштабы терроризма и организованной преступности возрастают вследствие зачастую сопровождающегося конфликтами изменения форм собственности, обострения борьбы за власть на основе групповых и этнонационалистических интересов.
Угрозу национальной безопасности России в социальной сфере создают глубокое расслоение общества на узкий круг богатых и преобладающую массу малообеспеченных граждан, увеличение удельного веса населения, живущего за чертой бедности, рост безработицы. Угрозой физическому здоровью нации являются кризис систем здравоохранения и социальной защиты населения, рост потребления алкоголя и наркотических веществ.
Последствиями глубокого социального кризиса являются резкое сокращение рождаемости и средней продолжительности жизни в стране, деформация демографического и социального состава общества, подрыв трудовых ресурсов как основы развития производства, ослабление фундаментальной ячейки общества - семьи, снижение духовного, нравственного и творческого потенциала населения. Углубление кризиса во внутриполитической, социальной и духовной сферах может привести к утрате демократических завоеваний.
Внешние угрозы:
- Стремление отдельных государств и межгосударственных объединений принизить роль существующих механизмов обеспечения международной безопасности, прежде всего ООН и ОБСЕ;
- Опасность ослабления политического, экономического и военного влияния России в мире;
- Укрепление военно-политических блоков и союзов, прежде всего расширение НАТО на восток;
- Возможность появления в непосредственной близости от российских границ иностранных военных баз и крупных воинских контингентов;
- Распространение оружия массового уничтожения и средств его доставки;
- Ослабление интеграционных процессов в Содружестве Независимых Государств;
- Возникновение и эскалация конфликтов вблизи государственной границы Российской Федерации и внешних границ государств-участников Содружества Независимых Государств;
- Притязания на территорию Российской Федерации.
4 глава. Обеспечение национальной безопасности Российской Федерации.
Основными задачами в области обеспечения национальной безопасности Российской Федерации являются:
- своевременное прогнозирование и выявление внешних и внутренних угроз национальной безопасности Российской Федерации;
- реализация оперативных и долгосрочных мер по предупреждению и нейтрализации внутренних и внешних угроз;
- усиление роли государства как гаранта безопасности личности и общества, создание необходимой для этого правовой базы и механизма ее применения;
- укрепление системы правоохранительных органов, прежде всего структур, противодействующих организованной преступности и терроризму, создание условий для их эффективной деятельности;
- в целях предупреждения коррупции и устранения условий для легализации капиталов, нажитых незаконным путем, необходимо создать действенную систему финансового контроля, усовершенствовать меры административного, гражданского и уголовно-правового воздействия.
- для объединения общества необходимо сохранение роли общенационального русского языка, как языка межгосударственного общения.
Доктрина информационной безопасности Российской Федерации.
Цель создания: формирования государственной политики в области обеспечения информационной безопасности Российской Федерации.
I глава. Информационная безопасность Российской Федерации.
II глава. Методы обеспечения информационной безопасности Российской Федерации.
III глава. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные меры по ее реализации.
IV глава. Организационная основа системы обеспечения информационной безопасности Российской Федерации.
I глава. Информационная безопасность Российской Федерации.
1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение.
- Соблюдение констуционных прав и свобод человека и гражданина в области получения информации и пользования ею.
- Доведение до российской и международной общественности достоверной информации о государственной политике РФ.
- Развитие современных информационных технологий, отечественной индустрии и информации, в т.ч. информатизация, телекоммуникация, связь и т.д.
- Государство должно уделять огромное внимание защите информационных ресурсов от различных видов угроз.
2. Виды угроз информационной безопасности Российской Федерации.
- угрозы конституционным правам и свободам человека и гражданина;
- угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи;
- создание монополий на формирование, получение и распространение информации в Российской Федерации;
- противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
- неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;
- вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
- увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.
3. Источники угроз.
Внешние:
- Государственные структуры зарубежных стран;
- Деятельность негосударственных структур, препятствующая развитию информационной индустрии.
Внутренние:
- Критический экономический состав российской промышленности;
- Криминогенная обстановка в государстве;
- Недостаточная разработка правовых и нормативных документов;
- Снижение эффективности системы образования;
- Низкий уровень информационных сетей.
4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению.
Особое внимание необходимо уделять развитию информационной сферы во всех ее проявлениях: правовой, концептуальной и др; созданию отечественных наукоемких технологий и систем государственного контроля за информационной безопасностью.
II глава. Методы обеспечения информационной безопасности Российской Федерации.
1. Общие методы обеспечения информационной безопасности.
- Правовые - разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации;
- Организационно-технические - создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
- Экономические - разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
2. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни.
- Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены: система государственной статистики; кредитно-финансовая система; системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности; системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
- Внутренняя политика должна быть направлена на: создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации; активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России.
- Внешняя политика: информационные ресурсы федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях; стараться пресекать всевозможные дезинформационные процессы, направленные в отношение РФ.
- Духовная сфера: русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств-участников Содружества Независимых Государств; деформация системы массового информирования как за счет монополизации средств массовой информации, так и за счет неконтролируемого расширения сектора зарубежных средств массовой информации в отечественном информационном пространстве; выработка цивилизованных форм и способов общественного контроля за формированием в обществе духовных ценностей, отвечающих национальным интересам страны, воспитанием патриотизма и гражданской ответственности за ее судьбу.
- Военная сфера: создание наукоемких технологий; разъяснение военной политики; проведение информационной борьбы в мировом пространстве с целью сохранения стратегического положения в мире.
3. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности.
Основными направлениями международного сотрудничества Российской Федерации в области обеспечения информационной безопасности являются:
- запрещение разработки, распространения и применения “информационного оружия”;
- обеспечение безопасности международного информационного обмена;
- координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений;
- предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли.
III глава. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные меры по ее реализации.
- Финансирование наукоемких технологий;
- Обеспечение войск отечественным оборудованием;
- Вхождение в международное сообщество.
IV глава. Организационная основа системы обеспечения информационной безопасности Российской Федерации.
Основные функции системы обеспечения информационной безопасности Российской Федерации:
- разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
- обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
- обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным каналам и каналам связи.
Реализация первоочередных мероприятий по обеспечению информационной безопасности Российской Федерации, перечисленных в настоящей Доктрине, предполагает разработку соответствующей федеральной программы. Конкретизация некоторых положений настоящей Доктрины применительно к отдельным сферам деятельности общества и государства может быть осуществлена в соответствующих документах, утверждаемых Президентом Российской Федерации.
Третья составляющая национальных интересов заключается в развитии современных национальных технологий отечественной индустрии и информации. Это развитие должно быть приоритетным.
Четвертая составляющая национальных интересов заключается в том, чтобы государство уделяло внимание защите информационных ресурсов от различных видов угроз.
2. Виды угроз информационной безопасности:
- Угроза конституционным правам и свободам человека в любых проявлениях.
- Угроза развитию отечественной индустрии, включающая производство, реализацию и защиту (информации и информатизации).
- Угроза в информационной области. Это угроза создания монополий на формирование, получение и распространение информации.
- Противоправное применение специальных средств в области информационных технологий, воздействующих на общество.
- Неисполнение любых органов государственной власти как на федеральном уровне, так и на местах основных федеральных и местных законодательств в информационной сфере.
- Вытеснение российских информационных средств из внутреннего информационного потока рынка и усиление зависимости государства от зарубежных информационных структур.
- Увеличение оттока за рубеж специалистов и правообладателей индивидуальной собственности.
3. Источники угроз:
- Внутренние.
- Внешние.
Внутренние:
Критическое экономическое состояние промышленности.
Криминогенная обстановка в нашем государстве на любых уровнях.
Недостаточная разработка правовых и нормативных документов.
Низкий уровень информационных сетей.
Внешние:
Государственные структуры зарубежных стран.
Деятельность негосударственных структур.
4. Состояние информационной безопасности РФ и основные задачи ее обеспечения.
Повторяет все выводы предыдущих глав. Основной момент – необходимо уделить особое внимание информационной сфере во всех ее проявлениях в государстве: создание отечественных наукоемких технологий, системы государственного контроля за государственной безопасностью (ФАПСИ, МВД, СВР, законодательства и т.д.).
II. Методы обеспечения информационной безопасности РФ
1. Общие методы обеспечения информационной безопасности.
- Правовые.
- Организационные.
- Технические.
- Экономические.
Правовые.
Необходимо разработать законодательные акты и нормативы, чтобы регулировать отношения в информационной сфере.
Организационные.
Создание соответствующих органов, служб, обеспечивающих безопасность РФ (суды и т.д.).
Технические.
Разработка соответствующего программного обеспечения, криптографических программ, различных пакетов проверки этих программ, программ, проверяющих входные потоки.
Экономические.
Необходимо, чтобы правительство финансировало развитие информационных структур.
2. Экономическая сфера.
Внедрение в экономику автоматизированных систем обработки, хранения и защиты информации. Необходимо совершенствование нормативно-правовой базы, подготовки кадров.
Внутренняя политика.
Должна быть направлена на:
- всемерное расширение информационных ресурсов федеральных органов и СМИ;
- противодействие монополизации в сфере информационных ресурсов;
- активизацию деятельности органов, которые анализировали и прекращали бы негативные последствия дезинформации внутри государства.
Внешняя политика.
Разъяснение через СМИ и другие сферы нашей политики как информационной, так и во всех странах, пресекать всевозможные дезинформационные процессы, направленные по отношению к России; вопрос о создании конкурентных отечественных технологий.
Духовная сфера.
Русский язык должен быть межгосударственным. Все государственные органы и СМИ, связанные с ними, должны использовать кириллицу. Основной угрозой является деформация систем массового информирования, направленная на снижение роли российского культурного населения. В силу этого, целью информатизации в духовной сфере является использование общего контроля за информированием духовных ценностей, которые были бы направлены на укрепление национальных интересов страны.
Военная сфера.
Все сферы должны быть развиты. Т.е.: создание наукоемких технологий, информационного оружия, разъяснение военной политики как внутри страны, так и вне ее, тесные отношения с другими странами, информационная борьба с целью сохранения стратегического положения страны в мире.
Международное сотрудничество РФ в области безопасности.
Основные направления сотрудничества:
- Запрещение разработки, распространения и применения информационного оружия.
- Вхождение России в информационные телекоммуникационный мир всего мирового сообщества.
- Разработка международных правовых норм в области информатизации.
- Создание международных органов, которые контролировали бы деятельность в информационной сфере.
III. Основные положения государственной политики.
Обеспечение информационной безопасности РФ и первоочередные мероприятия по ее реализации.
Военный комплекс должен быть обеспечен новейшим современным отечественным оборудованием, оружием и т.д.
С точки зрения экономики, должно быть хорошее финансирование.
IV. Организационная основа системы обеспечения информационной безопасности РФ.
- Разработка нормативно-правовой базы в области обеспечения безопасности.
- Развитие отечественной информационной структуры.
- Создание соответствующих органов, которые были бы ответственны за политику в информационной области и контроль за этими органами.
Основные понятия информационной безопасности.
- Категории информационной безопасности и информационных систем.
- Классификация категорий.
- Система классификации угроз информационной безопасности.
Категории:
- Конфиденциальность.
- Целостность.
- Аутентичность.
- Апеллируемость.
Конфиденциальность – гарантия того, что конкретная конфиденциальная информация будет доступна только ограниченному кругу лиц. Нарушение этого – есть хищение информации.
Целостность – информация должна быть сохраняема в ее исходном виде как при хранении, так и при передаче. Нарушение целостности – фальсификация.
Аутентичность – источником информации является то лицо, которое называет себя автором (собственником) информации.
Апеллируемость – аналогично аутентичности, но отличается тем, что можно доказать, что то лицо, которое является источником информации, является источником, даже если оно отказывается.
Категории информационных систем:
- Надежность.
- Точность.
- Контроль доступа.
- Контролируемость.
- Контроль идентификации.
- Устойчивость к умышленным или сбоям.
Надежность – гарантия того, что информационная система при любых режимах работы будет вести себя в соответствии с заданными параметрами.
Точность – гарантия того, что система будет выполнять все команды согласно заданным параметрам.
Контроль доступа – ограничение круга пользователей, имеющих определенный доступ к определенному виду информации.
Контролируемость – понимается то, что в любой момент времени можно произвести проверку любых элементов системы.
Контроль идентификации – гарантия того, что можно контролировать подключение пользователей к системе по их идентификационным номерам.
Устойчивость к сбоям - гарантия того, что система будет работать в рамках тех параметров, которые записаны в документации, если сбой не превышает технических параметров.
Классы конфиденциальности:
№ класса | Тип информации | Описание | Примеры |
0 | Общедоступная открытая информация | Общедоступная, несекретная, некодированная | Общие сведения о любой организации |
1 | Внутренняя информация | Информация внутри организации, недоступна в открытом виде, не представляет угрозы при утере | Документы, прописывающие правила действия организации, методики по разработкам, различные отчеты и т.д. |
2 | Конфиденциальная информация | Недоступна в открытом виде и при ее утечке могут возникнуть моральные и физические потери | Финансово-экономическая деятельность ,стратегические планы, проекты, данные об определенной клиентуре |
3 | Секретная информация | Информация, при утечке которой наступает крах | Стратегические вклады в финансовые органы |
Требования к работе с конфиденциальной информацией:
1-й класс.
- Осведомление сотрудников о закрытости конкретной информации.
- Ознакомление сотрудников с основными возможными методами атак на информацию.
- Ограничение физического доступа к информации.
- Разработка и наличие набора документации по правилам работы с данной информацией.
2-й класс.
Включает все требования, относящиеся к 1-му классу, плюс:
- Наличие списка лиц, имеющих доступ к информации.
- Работа с информацией под расписку.
- Расчет риска атак на информацию.
- Разработка автоматических систем и их использование, проверка целостности систем и средств безопасности.
- Разработка надежных схем транспортировки информации.
- Осуществление бесперебойного питания.
3-й класс.
Включает все требования, относящиеся к 1-му и 2-му классам, плюс:
- Детальный план спасения или гарантированного уничтожения информации.
- Криптографическая проверка целостности информации.
- Защита носителей информации от всевозможных серьезных исключительных внешних воздействий.
Защита информации от утечки по информационным каналам.
Каналы утечки информации:
- Технические.
- Материально-вещественная группа каналов.
Технические каналы утечки информации – совокупность физических полей, несущих конфиденциальную информацию, конструктивных элементов, взаимодействующих с ними, и технических средств злоумышленника для регистрации полей и снятия информации.
Материально-вещественный канал утечки информации – совокупность материальных носителей информации, несущих конфиденциальную информацию, и технических средств злоумышленника для регистрации и снятия информации.
Технические каналы утечки информации:
- Электромагнитный.
- Акустический.
- Тепловой
- Радиоактивный
- Оптический.
Материально-вещественный канал утечки информации:
- Физические состояния
- Твердое тело.
- Жидкое тело.
- Газообразное тело.
- Твердое тело.
- Физическая природа
- Химическая.
- Биологическая.
- Радиоактивная.
- Среда распространения
- Атмосфера.
- Земля.
- Вода.
Акустический канал утечки информации
Занимает диапазон частот звуковых колебаний – от инфразвука до ультразвука.
- Природа образования
- Собственные излучения.
- Отражения.
- Собственные излучения.
- Диапазон
- Инфразвуковой.
- Звуковой.
- Ультразвуковой.
- Среда распространения
- Атмосфера.
- Земля.
- Вода.
- Направленное распространение.
Визуально-оптический канал утечки информации
- Природа образования
- Собственное излучение.
- Отражение.
- Переизлучение.
- Собственное излучение.
- Диапазон
- Инфракрасный.
- Видимый.
- Ультрафиолетовый.
- Среда распространения
- Свободное пространство.
- Направленные линии.
Электромагнитный канал утечки информации
- Природа образования
- Электромагнитное излучение.
- Паразитирующие связи и наводки.
- Акусто-преобразовательная природа.
- Электромагнитное излучение.
- Диапазон излучения
- Сверхдлинные волны.
- Длинные волны.
- Средние волны.
- Короткие волны.
- Ультракороткие волны.
- Среда распространения
- Свободное распространение.
- Космос.
- Атмосфера.
- Земля.
- Вода.
- Направленные линии.
Сверхдлинные волны. | Мириаметровые | 10-100 км |
Длинные волны | Километровые | 1-10 км |
Средние волны | Гектометровые | 100-1000 м |
Короткие волны | Декометровые | 10-100 м |
Ультракороткие волны | Метровые | 1-10 м |
| Дециметровые | 10-100 см |
| Сантиметровые | 1-10 см |
| Миллиметровые | 1-10 мм |
| Децимиллиметровые | 0,1-1 мм |
Дальнюю связь ведут в сверхдлинных и длинных диапазонах.
Способы предотвращения утечки информации по каналам.
Для вещественного канала.
Организационно-правовые методы сохранения вещественной информации.
Надо четко прописывать организационный вопрос движения этой информации. Надо создать инструкцию по использованию и передвижению этой информации. Обязательно прописывать права и обязанности пользователей этой информацией. Кроме того, в этой инструкции должна быть указана ответственность работника за нарушение прав и обязанностей.
Для акустического канала (акусто-вибрационного).
Организационный метод защиты информации остается, но немного видоизменяется.
Надо прописать использование технических средств, которые могли бы быть дополнительно передатчиком информации (напр. Мобильный телефон). Использование технических средств, позволяющих скрыть акустический канал, т.е. создание помех. Самым простым прибором такого рода является генератор шума. Их ставят на окна, стены, полы и т.д. Возможно использование звукового экранирования.
Для визуально-оптического канала.
Организационные методы и способы аналогичны предыдущим.
С точки зрения технических средств, визуально-оптический канал требует дополнительных усилий. Его требуется экранировать.
Бывают мощные каналы, которые приводят к переизлучению. Причем этот диапазон в основном находится в УФ области. Поэтому при работе с такими каналами надо предвидеть этот эффект и принять соответствующие меры по его устранению.
ИК источники. Они наиболее используемые, т.к. невооруженным глазом ИК излучение не видно. Поэтому, используя защитные средства, надо использовать такие, которые чувствительны к ИК диапазону.
Для электромагнитного диапазона.
Этот диапазон самый обширный (от микрон до сотен километров).
Защита осуществляется только путем кодирования информации. Можно сделать направленную передачу информации, т.е. сузить поток. Для этого надо использовать узконаправленные антенны.
Побочные электромагнитные излучения и наводки (ПЭМИН).
Любое электрическое устройство излучает побочные электромагнитные волны.
Существует 3 способа защиты информации от ПЭМИН:
- Экранирование (проводов, помещения, подводящего питания).
- Генераторы шума (надо учесть, что шумы не должны влиять на работу прибора).
- Уменьшение мощности излучений.
Организационно-правовые методы защиты остаются такими же, как и в предыдущих пунктах.
Следует продумывать архитектуру устройств таким образом, чтобы помехи, создаваемые какой-то частью устройства не могли быть переданы другой, осуществить автономное питание, гальваническую развязка.
Категории защищаемой информации.
- Государственные секреты.
- Предпринимательские секреты.
Государственные секреты – сведения политического, экономического, социального, военного и научно-технического характера. Утрата и разглашение которых создает угрозу безопасности и независимости государства или наносит ущерб его интересам.
Подразделения государственных секретов.
- Государственная тайна.
- Служебная тайна.
- Военная тайна.
Государственная тайна – сведения связанные с политикой, экономикой, социальной и научно-технической сферой деятельности государства, разглашение которых наносит ущерб государству.
Служебная тайна – сведения, связанные с принципами работы государственных учреждений, их структурой, разглашение которых может привести к ущербу для государства.
Военная тайна – сведения, охраняемые государством, связанные с военными процессами.
Предпринимательские секреты – это действия, связанные с промышленностью, финансами и коммерцией. Разглашение или утрата которых может создать угрозу безопасности организации.
Подразделения предпринимательских секретов.
- Промышленная тайна.
- Коммерческая тайна.
- Финансовая тайна.
Промышленная тайна – это секреты, связанные с производством, открытиями, изобретениями, новыми технологиями, оборудованием, ноу-хау и т.д.
Коммерческая тайна – все действия и особенности данного предприятия, связанные с коммерческой деятельностью (партнеры, источники сырья, особенности сбыта и т.д.)
Финансовая тайна – действия, связанные с бухгалтерскими и финансовыми документами, разглашение или утрата которых представляет угрозу деятельности организации или предприятия.
Защитные меры, используемые относительно защищаемой информации.
4 основных меры защиты:
- Предотвращение.
- Обнаружение.
- Ограничение.
- Восстановление.
Предотвращение - создание или организация условий, обеспечивающих сохранение информации, т.е. предотвращение любой утечки информации.
Обнаружение – разработка способов, методов, средств, обеспечивающих эффективное раннее обнаружение преступления при возможном преодолении защиты.
Ограничение – действия, направленные на минимизацию размера ущерба в результате утечки информации.
Восстановление – действия, связанные с обеспечением эффективного восстановления информации или реорганизации предприятия, организации и т.д. с целью обеспечения ее дееспособности.
ГОСУДАРСТВЕННЫЕ ОРГАНЫ,
ОБЕСПЕЧИВАЮЩИЕ ЗАЩИТУ ИНФОРМАЦИИ.
Структурное распределение государственных органов, обеспечивающих защиту информации:
- президент
- совет безопасности
- межведомственная комиссия по защите государственной тайны
- федеральная служба безопасности
- министерство обороны РФ
- федеральное агентство правительственной связи и информации при президенте РФ
- государственная техническая комиссия при президенте РФ
- служба внешней разведки.
СОВЕТ БЕЗОПАСТНОСТИ.
Вневедомственный государственный орган. Является основным органом, разрабатывающим стратегию защиты государства в экономических, информационных, политических сферах. Основная задача: стратегическое планирование. Входят представители всех высших органов: государственной думы, совета федерации, представители экономических наук, представители администрации президента.
Рассматривается национальная безопасность со всех сторон. Орган не наделен какими-либо правами.
МЕЖВЕДОМСТВЕННАЯ КОМИССИЯ.
Является коллегиальным органом, но основная задача – координирование деятельности органов государственной власти в области защиты государственной тайны. Специализирована на узконаправленные деятельности.
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСТНОСТИ.
Основной орган, который отвечает за информационную безопасность государства. ФСБ является приемником КГБ после 1991 года. Сначала она называлась Центральной Службой Разведки, а с 1992г.- ФСБ. 1991г.-1992г. шло разделение служб: из 1 управления – Служба Внутренней Разведки, из 8 управления – ФАПСИ.
Структура ФСБ:
- федеральная служба безопасности РФ
- управления и отделы ФСБ по отдельным регионам и субъектам РФ
- управления и отделы ФСБ в вооруженных силах
- учебные и научные заведения подчиняющиеся ФСБ
Обязанности:
- контрразведывательная деятельность (до 1990г.)
- борьба с преступностью (с 1994г.)
- предоставление информации о возможных угрозах и о состоянии экономики, науки, промышленности и социальной сферы президенту, государственной думе, правительству и государственным исполнительным органам на местах.
- Выявлять, предупреждать, пресекать разведывательную деятельность спец.служб иностранных государств, организаций и отдельных лиц.
- Выявлять, предупреждать, пресекать акты терроризма
- Добывать разведывательную информацию в интересах безопастности РФ
- Проводить взаимодействия со службой внешней разведки мероприятия по обеспечению безопасности учреждений и граждан РФ за её пределами
- Осуществлять регистрацию и учет радиоданных и радиоизлучения, передающих радиоэлектронных средств
- Выявлять на территории государства радиоизлучения, передающиеся радиоэлектронными средствами, представляющие угрозу безопасности РФ
- Разрабатывать норматовноправовую документацию, направленную на обеспечение государственной безопасности.
Права, прописанные в указе:
- Осуществлять оперативно розыскную деятельность по выявлению, предупреждению, пресечению и раскрытию шпионажа, террористической деятельности, коррупции, организованной преступности, незаконного оборота оружия, наркотических средств и других видов деятельности оговоренных в законодательстве РФ
- Осуществлять проникновения в спец.службы и органы иностранных государств, проводящих разведывательную деятельность, направленную против РФ и в другие организации внутри страны.
- Осуществлять шифровальные работы в органных государства и органах служб безопастности, а также осуществлять контроль за соблюдением режима секретности при обращение шифрованной информации в государственных органах, организациях и учреждениях не зависящих от форм собственности.
- Сотрудники имеют право использовать специальные средства, оружие, методы и приемы боевой борьбы для обеспечения безопасности государства, граждан, организаций.
ФЕДЕРАЛЬНОЕ АГЕНСТВО
ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОМАЦИИ.
Структура:
- Центральные органы
- Органы правительственной связи, информации в субъектах РФ
- Войска, связанные с правительственной связью, радио разведывательной и инженерно строительной частью в области связи.
- Учебные и научные заведения, находящиеся в структуре ФАПСИ.
- Академия криптографии при ФАПСИ.
Все структуры подчиняются федеральному агентству, а федеральное агентство находится в ведение президента. Президент осуществляет контроль основных задач ФАПСИ.
Обязанности:
- Организация обеспечения правительственной связи и иных видов связи для государственных органов.
- Организация и обеспечение криптографической и инженерно-технической безопасности шифровальной связи.
- Организация и ведение разведывательной деятельности в сфере шифрования, засекречивания и иных видов специальной связи.
- Организация и обеспечение эксплуатационной безопасности развития и совершенствования правительственной связи и других вводов связи для государственных органов.
- Обеспечение высших органов государственной власти на местах специальной информацией необходимой для принятия решений в области безопасности РФ
- Разработка нормативной документации, предписаний в организации, обеспечения, функционированию и безопасности правительства, шифровальной и других специальных связях.
- Осуществлять и определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации в РФ.
- Осуществление в пределах компетенции лицензии и секретных разработок, производств, эксплуатации в области шифрованной информации.
- Разработка документов по контролю за техническими средствами обработки, хранения, передачи секретной информации.
Сотрудники относятся к военнослужащим.
СЛУЖБА ВНЕШНЕЙ РАЗВЕДКИ.
Обязанности:
- Проведение внешней разведки с целью обеспечения безопасности РФ
- Проведение внешней разведки с целью реализации политики
- Проведение внешней разведки с целью экономического, научно-технического, военного развития
- Использование гласных и негласных методов и средств разведывательной деятельности
- Разведанная информация предоставляется президенту, правительству, федеральному собранию и определенному президентскому федеральному органу
- Общее руководство возлагается на президента
ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИСИЯ
ПРИ ПРЕЗИДЕНТЕ РФ.
Обязанности:
- Осуществляет государственную научно-техническую политику в области защиты информации при разработке, производства и эксплуатации и утилизации информационных систем и устройств.
- Осуществлять межотраслевую координацию и функциональное регулирование деятельности по обеспечению технической защиты информации
- Предотвращения утечки информации по техническим каналам, несанкционированный доступ к ней, специальное воздействие на информацию с целью её уничтожения
- Осуществления лицензионного и сертифицированного производства, реализации, эксплуатации технических средств.
- Контроль деятельности по техники защиты информации в аппаратных органах государственной и органах исполнительной власти субъекта РФ, в органах местного самоуправления, на предприятиях и учреждениях бюджетной сферы.
- Организация технического обеспечения деятельности межведомственной комиссии по защите государственной тайны.
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ.
Функции:
- Разработка и принятие мер по защите прав и свобод человека и гражданина
- Разработка и принятие мер по защите объекта независимо от формы собственности.
- Разработка и принятие мер по обеспечению общественного порядка и общественной безопасности
- Организация и осуществление мер по предупреждению и пресечению преступлений и административных правонарушений.
- Организация и осуществление мер по выявлению, раскрытию и расследованию преступлений
- Совершенствование нормативно-правовой основы деятельности органов внутренних дел и внутренних войск
- Руководств органами внутренних дел и внутренними войсками в целях выполнения возложенных на них задач.
Структура МВД:
- Во главе МВД РФ.
- МВД республик.
- Главные управления внутренних дел; управления внутренних дел краев, областей и других субъектов РФ.
- Управления или отделы внутренних дел на транспорте:
- Железнодорожный транспорт
- Воздушный транспорт
- Водный транспорт
- Железнодорожный транспорт
- Управления и отделы восьмого главного управления внутренних дел, которые связанны с обеспечением безопасности режимных объектов (оборонные предприятия, экологические предприятия, предприятия по производству взрывчатого вещества)
- Региональные управления по борьбе с организованной преступностью
- Следственный комитет при МВД
- Следственные управления и отделы на субъектах РФ
- Главное управление по противопожарной безопасности
- Государственная автоинспекция
- Внутренние войска МВД (обеспечение охраны режимным объектам, борьба с терроризмом).
- Учебные заведения, научно-исследовательские институты.
- Управление по борьбе с преступлениями в области наукоемких технологий.
ОРГАНИЗАЦИОННО-ПРАВОВОЕ
ОБЕСПЕЧЕНИЕ ЗАШИТЫ ИНФОРМАЦИИ.
Организационно-правовое обеспечение защиты информации – разработка, использование и соблюдение нормативно-правовой и технико-математической базы при защите информации.
Процесс разбивается на 3 подраздела:
- организационно-правовые методы защиты информации
- технико-математические методы защиты информации
- юридические вопросы и аспекты.
Организационно-правовое обеспечение защиты информации |
Организационно-правовой аспект | Технико-математический аспект | Юридический аспект |
Разработка инструкций и нормативных документов пользователя | Разработка структурных схем ЗИ | Разработка и узаконивание нормативных документов и прав по ЗИ |
Разработка структурных схем по защите информации | Разработка нормативных документов по использованию технических средств по ЗИ | Разработка и узаконивание мер ответственности за нарушения |
Определение подразделения и лиц, ответственных за защиту информации | Фиксация факта ознакомления с техническими средствами ЗИ | Узаконивание техноко-математических решений |
Определение мер ответственности | Фиксация подписи под документом | Узаконивание процессуальных процедур |
Порядок разрешения спорных ситуаций | Фиксация фактов изменения в технических средствах ЗИ | Фиксация хищения техноко-матемтических средств ЗИ |
СИСТЕМНАЯ КЛАССИФИКАЦИЯ
УГРОЗ БЕЗОПАСТНОСТИ ИНФОРМАЦИИ.
Параметры классификации | Значение параметров | Содержание параметров |
1. Виды угроз безопасности | 1.1. физическая целостность 1.2. конфиденциальность 1.3. отношение к праву собственности 1.4. логическая структура | 1.1. уничтожение, хищение, искажение 1.2. несанкционированное получение информации 1.3. присваивание, отчуждение по праву собственности 1.4. искажение логической структуры |
2. Природа происхождения угроз безопасности | 2.1. случайные характер 2.2. преднамеренный характер | 2.1. сбои, ошибки 2.2. действия злоумышленника |
3. Предпосылки появления угроз безопасности | 3.1. объективные 3.2. субъективные | 3.1. количество и качество недостающих элементов в системе защиты 3.2.действия промышленного шпионажа, конкурентов, разведки |
4. Источники угроз | 4.1. люди (человеческий фактор) 4.2. технические устройства 4.3. модели, алгоритмы, программы 4.4. технологические сферы обработки информации 4.5. состояние внешней среды | 4.1. пользователи информацией, собственный персонал и сторонний злоумышленник 4.2. все виды технических систем связи с приемом, обработкой, хранением, передачей, выдачей информации 4.3. общего пользования, прикладные, специальные, вспомогательные 4.4. ручная, внутремашинная, сетевая, интерактивная схема обработки информации 4.5. всегда присуще и может оказать негативное влияние |
КЛАССИФИКАЦИЯ СРУКТУРЫ КАНАЛОВ НЕСАНКЦИОНИРОВАННОГО ПОЛУЧЕНИЯ ИНФОРМАЦИИ.
Зависимость от доступа к элементам системы | Отношение к обработке информации | |
Проявляющиеся без относительно к обработке | Проявляющиеся в процессе обработки | |
Не требует доступа к элементам системы | 1кл.: общедоступные постоянные данные | 2кл.: общедоступные функциональные связи и схемы |
Требует доступ к элементам системы без их изменения | 3кл.: информация узкодоступного характера, получение информации не оставляет следов | 4кл.: узко доступная информация, связанная с функциональными и структурными схемами |
Действие связанные с доступом к элементам системы, приводящие к их изменению | 5кл.: специальные сведения и данные получение, которых требует оставление следов. | 6кл.: специальные сведения и процессы обработки, связанные с функциональными и структурными схемами. |
СПОСОБЫ НЕСАНКЦИОНИРОВАННОГО
ДОСТУПА К ИНФОРМАЦИИ.
Несанкционированный доступ к источнику конфиденциальной информации – это противоправное, преднамеренное овладение официальной информацией лицом, не имеющим право доступа к этой информации.
Способы НСД:
- Наблюдение – это способ ведения информационного сопровождения, позволяющий составить представление о состояние и деятельности противника.
Виды:
- С помощью технических средств
- Физическим лицом
- Подслушивание - это способ получения информации в акустическом диапазоне передачи информации. Используются технические средства и физические лица.
- Хищение – противоправное изъятие конфиденциальной информации.
- Копирование – противоправное получение конфиденциальной информации с помощью копирования техническими средствами или с использованием физиологической памяти.
- Инициативное сотрудничество – это действия физических лиц, являющихся работниками организации, имеющих психологическую неудовлетворенность или нуждающиеся в материальных средствах, направленные на передачу конфиденциальной информации лицам, не имеющих право доступа к ней.
- Склонение к сотрудничеству – это насильственное действие со стороны лиц, не имеющих доступа к информации, к сотрудникам, обладающих этой конфиденциальной информацией.
- Выведывание – стремление получить конфиденциальную информацию на основе составления схем сбора информации косвенным путем.
- Выпытывание - это насильственное получение информации с применением психологических, психотропных и технических способов, средств и методов.
- Подделка информации – это использование модифицированного фальсифицированного документа с целью доступа к конфиденциальной информации.
- Уничтожение информации – это действие направленно на полное уничтожение конфиденциальной информации злоумышленником.
- Негласное ознакомление – это способ получения информации косвенным путем.