Организационно-правовое обеспечение защиты информации общее содержание организационно-правового обеспечения

Вид материала

Документы

Содержание Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в АС Технико-математические аспекты Юридические аспекты. Стратегия национальной безопасности Российской Федерации Доктрина информационной безопасности Российской Федерации Государственная тайна — Носители сведений, составляющих государственную тайну Степень секретности — Перечень сведений, составляющих государственную тайну 2. Сведения в области экономики, науки и техники 3. Сведения в сфере внешних отношений 4. сведения в области государственной безопасности и охраны правопо­рядка

Подобный материал:

• 1. Организационно-правовое обеспечение образовательной деятельности, 2486.91kb.
• Рабочая программа по дисциплине «правовое обеспечение творческой и организационно-управленческой, 392.08kb.
• Учебная программа курса «методы и средства защиты компьютерной информации» Модуль, 132.53kb.
• Вопросы к зачету по курсу “Методы и средства защиты информации” для специальностей, 72.21kb.
• I. Организационно-правовое обеспечение образовательной деятельности, 1519.05kb.
• 1. организационно-правовое обеспечение образовательной деятельности, 4934.03kb.
• I. Организационно-правовое обеспечение образовательной деятельности, 1607.88kb.
• 2. Организационно-правовое обеспечение образовательной деятельности Академии, 2396.01kb.
• Публичный доклад, 2330.55kb.
• Федеральное агентство по образованию, 2877.22kb.

Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в АС


В качестве центрального звена, реализующего содержание организационно-правовой основы (см. рис.1), выступает специально создаваемая в составе АС служба защиты (безопасности) информации. Организация таких служб предусмотрена как Законом "Об информации, информатизации и защите информации", так и Законом Российской Федерации "О безопасности", где в статье 27 записано:

"... для практической реализации требований и правил по защите информации поддержанию информационных систем в защищенном со стоянии, эксплуатации специальных программно-технических и обеспечению организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах могут создаваться службы безопасности информации.... Предприятия, организации и учреждения, обрабатывающие информацию с ограниченным доступом, являющуюся собственностью государства, создают службы безопасности информации в обязательном порядке."

Исходя из приведенных задач службы зашиты информации, могут быть сформулированы ее основные функции:

• формирование требований к системе защиты в процессе создания АС;
  
• участие в проектировании системы защиты;
  
• участие в испытаниях и приемке системы защиты и составляющих ее элементов;
  
• планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
  
• распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;
  
• организация генерирования и установки кодов-идентификаторов технических средств;
  
• организация и введение в память АС служебных массивов системы защиты;
  
• наблюдение за функционированием системы защиты и ее элементов;
  
• организация превентивных проверок надежности функционирования системы защиты;
  
• обучение пользователей и персонала АС правилам обработки защищаемой информации;
  
• обучение пользователей и персонала АС правилам обработки защищаемой информации;
  
• контроль за соблюдением пользователями и персоналом АС правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
  
• принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.
  

Второй по значимости проблемой создания организационно-правовой основы является комплектование системы руководящих и методических документов по защите информации. Здесь с практической точки зрения можно было бы руководствоваться следующим;

все существующие в стране документы, регламентирующие правила обращения с информацией, имеющей ограничительный гриф, в полном объеме распространяются также и на информацию, циркулирующую в процессе функционирования АС;

с целью учета специфических особенностей накопления, хранения и обработки данных в АС разрабатываются и утверждаются специальные руководящие и методические материалы, которые должны иметь юридическую силу;

с целью интерпретации и детализации положений и требований указанных материалов применительно к конкретным условиям в каждой АС должны быть разработаны и в установленном порядке утверждены

инструкции пользователям, операторам АС, дежурным сменам администрации банка данных, службе защиты, а также техническая документация системы защиты.

При решении вопроса об ответственности за нарушение правил защиты прежде всего следует установить, привело ли оно к утечке защищаемых данных. В этом случае виновные несут ответственность в соответствии с существующими законами. За нарушение правил защиты, не повлекших за собою утечку данных, устанавливаются административные меры ответственности, предусмотренные трудовым законодательством.

Разрешение спорных и конфликтных ситуаций, связанных с вопросами распределения и использования реквизитов системы защиты {паролей, ключей и т.п.), должно входить в компетенции: службы защиты информации, а ситуаций, связанных с интерпретацией документов по защите, - в компетенцию органов и лиц, утвердивших соответствующие документы.

Технико-математические аспекты. Проведенные исследования показывают, что все проблемы, связанные с решением рассматриваемых задач фиксации различных фактов взаимодействия с защищаемой информацией (как санкционированного, так и несанкционированного), могут быть разделены на две группы - общие и специфические. При этом под общими понимаются такие проблемы, решение которых может быть осуществлено общими средствами разграничения доступа. К специфическим же относятся проблемы фиксации подписи под документом, представленным в АС в электронном виде. Такая подпись получила название электронной или цифровой.

Углубленные исследования данной проблемы как у нас в стране, так и за рубежом показывают, что наиболее перспективным способом реализации электронной (цифровой) подписи является использование криптографических методов преобразования данных. Область применения цифровой подписи чрезвычайно широка - от проведения финансовых и банковских безбумажных операций до контроля за выполнением международных договоров и охраны авторских прав.

Особо важное значение имеет проблема подписи при передаче сообщений по телекоммуникационным сетям. При этом потенциально возможными являются следующие злонамеренные действия: отказ, когда абонент-отправитель по прошествии времени отказывается от переданного сообщения; фальсификация, когда абонент-получатель подделывает сообщение; изменение когда абонент-получатель вносит изменения в сообщение; маскировка, когда абонент-отправитель маскируется под другого абонента. В этих условиях обеспечение защиты каждой из сторон, участвующих в обмене, осуществляется с помощью ведения специальных протоколов. Для верификации сообщения протокол должен содержать следующие обязательные положения:

• отправитель вносит в передаваемое сообщение свою цифровую подпись, представляющую собой дополнительную информацию, зависящую от передаваемых данных, имени получателя сообщения и некоторой закрытой информации, которой обладает только отправитель;
  
• получатель должен иметь возможность удостовериться, что полученная в составе сообщения подпись есть правильная подпись отправителя;
  
• получение правильной подписи отправителя возможно только при использовании закрытой информации, которой обладает отправитель;
  
• для исключения возможности повторного использования устаревших сообщений подпись должна зависеть от времени.
  

Юридические аспекты. Правовое обеспечение защиты информации охватывает отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, при создании и использовании информационных технологий и средств их обеспечения, при защите прав субъектов, участвующих в информационных процессах и информатизации. Основой построения концепции правового обеспечения является подразделение всех информационных ресурсов на категории открытого и ограниченного доступа, причем информация ограниченного доступа по условиям ее правового режима в свою очередь подразделяется на отнесенную к государственной тайне и конфиденциальную.

В системе правового обеспечения безопасности информации вид-нос место занимает правоохранительное законодательство, включающее нормы об ответственности за нарушения в области информатизации и логически завершающее комплекс организационно-правовых и технических мер и средств зашиты информации и систем ее обработки. Оно должно быть направлено не только и не столько на наказание за преступные посягательства на информацию и информационные системы скот ко на их предупреждение.

В целях комплексного подхода к формированию законодательства по проблемам информации и информатизации в России в апреле 1992 г. была утверждена "Программа подготовки законодательного и нормативного обеспечения работ в области информатизации". В соответствии с этой Программой была намечена разработка базового Закона Российской Федерации "Об информации, информатизации и защите информации", а также специальных законов "О государственной тайне", "О коммерческой тайне", "Об ответственности за злоупотребления при работе с информацией" и др.

Базовый Закон "Об информации, информатизации и защите информации" занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике Росс ни.

определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

закрепляет права граждан, организаций, государства на информацию;

устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов к информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом порядка правовой зашиты информации;

развивает правовой режим признания за документами, полученными из автоматизированной информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;

определяет информационные ресурсы как элемент состава имущества и объект права собственности;

устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно технической. производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;

устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается:

в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

в отношении персональных данных - отдельным федеральным законом.


На официальном уровне государственная система защиты информации в России была сформирована в 1973 г. в рамках действия государственной ко­миссии СССР по противодействию иностранным техническим разведкам. На­чиная с 1992 г., проблемы информационной безопасности в новых экономиче­ских и правовых условиях вышли из круга оборонной тематики и обусловили тем самым создание в общегосударственном масштабе более совершенной сис­темы информационной безопасности. Создание такой системы, прежде всего, потребовало разработать необходимую нормативно-правовую базу: Концепцию национальной безопасности Российской Федерации, Доктрину информацион­ной безопасности Российской Федерации и ряд других документов.

Стратегия национальной безопасности Российской Федерации

Указом Президента от 12 мая 2009 г. № 537 утверждена Стратегия нацио­нальной безопасности Российской Федерации (Стратегия) до 2020 года.

В связи с этим признана утратившей силу прежняя Концепция нацио­нальной безопасности Российской Федерации, утвержденная в декабре 1997 г. и модифицированная в январе 2000 г.

Стратегия национальной безопасности - это система взглядов на обеспе­чение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в экономической, политической, социальной, международной, духовной, информационной, военной, оборонно-промышленной, экологической сферах, а также в сфере науки и образования.

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных нрав и свобод граждан в области получения ин­формации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанк­ционированного доступа.

Состояние отечественной экономики, несовершенство системы организа­ции государственной власти и гражданского общества, социально-политическая поляризация общества и криминализация общественных отноше­ний, рост организованной преступности и увеличение масштабов терроризма, обострение межнациональных и осложнение международных отношений соз­дают широкий спектр внутренних и внешних угроз национальной безопасности нашей страны.

Угрозы национальной безопасности Российской Федерации в информа­ционной сфере проявляются в стремлении ряда стран к доминированию в ми­ровом пространстве, вытеснению с внешнего и внутреннего информационного рынка; в разработке рядом государств концепции информационных войн, пре­дусматривающей создание средств опасного воздействия на информационные сферы других стран мира; в нарушении нормального функционирования ин­формационных и телекоммуникационных систем, а также сохранности инфор­мационных ресурсов путем получения несанкционированного доступа к ним.

В ходе реализации настоящей Стратегии угрозы информационной безо­пасности предотвращаются за счет совершенствования безопасности функцио­нирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Рос­сийской Федерации, повышения уровня защищенности корпоративных и инди­видуальных информационных систем, создания единой системы информацион­но-телекоммуникационной поддержки нужд системы обеспечения националь­ной безопасности.

Важнейшими задачами в области обеспечения информационной безопас­ности Российской Федерации являются:

- реализация конституционных прав и свобод граждан Российской Феде­рации в сфере информационной деятельности;

- совершенствование и защита отечественной информационной инфра­структуры, интеграция России в мировое информационное пространство;

- противодействие угрозе развязывания противоборства в информацион­ной сфере.

Для этого России потребуется:

- преодолеть технологическое отставание в важнейших областях инфор­матизации, телекоммуникаций и связи, определяющих состояние национальной безопасности;

- разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления эко­логически опасными производствами и критически важными объектами;

- обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.

Реализация Стратегии национальной безопасности Российской Федера­ции до 2020 года призвана стать мобилизующим фактором развития нацио­нальной экономики, улучшения качества жизни населения, обеспечения поли­тической стабильности в обществе, укрепления национальной обороны, госу­дарственной безопасности и правопорядка, повышения конкурентоспособности и международного престижа РФ.

Доктрина информационной безопасности Российской Федерации

Доктрина информационной безопасности РФ (Доктрина) утверждена Ука­зом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные на­правления обеспечения информационной безопасности и служит основой для:

- формирования государственной политики в области обеспечения ин­формационной безопасности Российской Федерации;

- подготовки предложений по совершенствованию правового, методиче­ского, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;

- разработки целевых программ обеспечения информационной безопас­ности Российской Федерации.

1. Информационная безопасность РФ (виды и источники угроз ИБ РФ, состояние ИБ РФ и основные задачи по ее обеспечению);

2. Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ в раз­личных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);

3. Основные положения государственной политики обеспечения ИБ РФ (первоочередные мероприятия по реализации государственной политики безо­пасности в РФ);

4. Организационная основа обеспечения ИБ РФ (основные функции сис­тем обеспечения ИБ РФ. основные элементы организационной основы систем обеспечения ИБ РФ).

2.3. Закон «О государственной тайне»

В основу законов, позволяющих отнести информацию к тому или иному разряду тайн, положены принципы информационного суверенитета и междуна­родные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне» [19].

Основные понятия

Государственная тайна — защищаемые государственные сведения в об­ласти военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распростране­ние которой может нанести ущерб безопасности Российской Федерации.

Носители сведений, составляющих государственную тайну, - материаль­ные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сиг­налов, технических решений и процессов.

Гриф секретности — реквизиты, свидетельствующие о степени секретно­сти сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Степень секретности — категория, характеризующая важность такой ин­формации, возможный ущерб в случае ее разглашения, степень ограничения доступа к ней и уровень ее охраны государством.


Перечень сведений, составляющих государственную тайну


Государственную тайну составляют:

I. Сведения в военной области:

- о содержании стратегических и оперативных планов и о других доку­ментах боевого управления; о подготовке и проведении военных операций, стратегическом и мобилизационном развертывании войск и об их важнейших показателях, характеризующих организацию, численность, дислокацию, бое­вую и мобилизационную готовность, боевую и другую военную подготовку, вооружение и материально-техническое обеспечение Вооруженных Сил. пограничных войск и прочих воинских формирований;

- о направлении развития отдельных видов вооружения и военной техни­ки, их количестве, тактико-технических характеристиках, организации и техно­логии производства, научно-исследовательских и опытно-конструкторских ра­ботах, связанных с разработкой новых образцов вооружения и военной техники, модернизации существующих образцов, а также о других работах, плани­руемых или осуществляемых в интересах страны;

- о силах и средствах Гражданской обороны, о готовности населенных пунктов, регионов и отдельных объектов к защите, эвакуации и рассредоточе­нию населения, к обеспечению его жизнедеятельности и производственной дея­тельности объектов народного хозяйства в военное время или в условиях дру­гих чрезвычайных ситуаций;

- о геодезических, гравиметрических, картографических, гидрографиче­ских и гидрометеорологических данных и характеристиках, имеющих значение для обороны страны.

2. Сведения в области экономики, науки и техники:

- о мобилизационных планах и мощностях народного хозяйства, запасах и объемах поставок стратегических видов сырья и материалов, а также о разме­щении и объемах государственных мобилизационных материальных резервов;

- об использовании транспорта, связи, других отраслей и объектов инфра­структуры страны в интересах обеспечения ее безопасности;

- о содержании, объеме, финансировании и выполнении государственного оборонного заказа;

- о планах, объемах и других важнейших характеристиках добычи, произ­водства и реализации отдельных стратегических видов сырья и продукции;

- о государственных запасах драгоценных металлов монетарной группы, драгоценных камней, валюты и других ценностей, об операциях, связанных с изготовлением денежных знаков и ценных бумаг, их хранением, охраной и за­щитой от подделки, обращением, обменом или изъятием, а также о других осо­бых мерах финансовой деятельности государства.

3. Сведения в сфере внешних отношений:

- о директивах, планах, указаниях делегациям и должностным лицам но вопросам внешнеполитической и внешнеэкономической деятельности;

- о финансовой политике в отношении иностранных государств (за ис­ключением обобщенных показателей но внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распро­странение которых может нанести ущерб безопасности государства;

- о военном, научно-техническом и ином сотрудничестве с разными стра­нами, если разглашение сведений об этом может нанести ущерб интересам го­сударства;

- об экспорте и импорте вооружения, военной техники, отдельных страте­гических видов сырья и продукции.

4. сведения в области государственной безопасности и охраны правопо­рядка:

- о силах, средствах, источниках, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если они раскрывают перечисленные сведения;

- о лицах, которые сотрудничают или раньше сотрудничали на конфиден­циальной основе с органами. Осуществляющими такую деятельность;

- об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой дея­тельности, если они раскрывают перечисленные сведения;

- о системе президентской, правительственной, шифрованной, в том чис­ле кодированной и засекреченной связи, о шифрах, о разработке, об изготовле­нии шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических сис­темах специального назначения;

- о методах и средствах защиты секретной информации;

- об организации и о фактическом состоянии защиты государственной тайны;

- о защите Государственной границы Российской Федерации;

- о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правительственной деятельности в Российской Фе­дерации;

- о разработке и использовании шифров, работе с ними, проведении науч­но-исследовательских работ в области криптографии;

- о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

Сведения могут быть отнесены к государственной тайне лишь при усло­вии, что их разглашение будет наносить ущерб жизненно важным интересам государства. Запрещается отнесение к государственной тайне каких-либо све­дений, нарушающих конституционные права человека и гражданина или нано­сящих вред здоровью и безопасности населения.

2.3.3. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию

Не подлежит отнесению к государственной тайне и засекречиванию ин­формация:

- о чрезвычайных происшествиях и катастрофах, угрожающих безопасно­сти и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

- о состоянии экологии, здравоохранения, санитарии, демографии, обра­зования, культуры, сельского хозяйства, а также о состоянии преступности;

- о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

- о фактах нарушения прав и свобод человека и гражданина;

- о размерах золотого запаса и государственных валютных резервах;

- о состоянии здоровья высших должностных лиц Российской Федерации;

- о фактах нарушения законности органами государственной власти и их должностными лицами.