1.Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой це ли ее функционирования, информационных связей между элемента ми системы, иерархичности построения подсистемы управления системой защиты информации.
2.Система защиты информации должна обеспечивать безопасность информации, средств информации, защиту интересов участников информационных отношений и невозможность несанкционирован ного доступа злоумышленника к защищаемой информации.
3.Система защиты информации в целом, применяемые методы и сред ства защиты должны быть по возможности прозрачными для закон ного пользователя, не создавать ему больших дополнительных не удобств, связанных с процедурами доступа к информации.
Система защиты информации должна обеспечивать оценку угроз внешних дестабилизирующих факторов и защиту от них.
Путь в несколько тысяч ли начинается с первого шага.
Лао-цзы
2. Организационно-правовое обеспечение информационной безопасности
2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации
Организационно-правовое обеспечениеИБ представляет собою сово купность решений, законов, нормативов, регламентирующих как общую
организацию работ по обеспечению ИБ, так и создание и функциониро вание систем защиты информации на конкретных объектах. Основные функции организационно-правовой базы следующие.
1.Разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации.
2. |
Определение системы органов и должностных лиц,, ответственных |
|
за обеспечение ИБ в стране и порядка регулирования деятельности |
|
предприятия и организации в этой области. |
3. |
Создание полного комплекса нормативно-правовых руководящих |
|
и методических материалов (документов), регламентирующих во- |
просы обеспечения ИБ как в стране в целом, так и на конкретном объекте.
4.Определение мер ответственности за нарушения правил защиты.
5.Определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Под юридическими аспектами организационно-правового обеспече ния защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы сле дующие цели:
•все правила защиты информации являются обязательными для со блюдения всеми лицами, имеющими отношение к конфиденциальной информации;
•узакониваются все меры ответственности за нарушение правил защи ты информации;
•узакониваются (приобретают юридическую силу) технико-математи ческие решения вопросов организационно-правового обеспечения защиты информации;
•узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
На рис. 2.1-2.3 представлены варианты концептуальных моделей безопасности продукции, личности и информации. Даже беглый анализ этих моделей дает представление о многообразии действий и мероприя тий по обеспечению ИБ.
Места |
- дом, дача |
- рабочий кабинет |
|
пребывания |
- улица |
- транспорт |
|
- личность |
- общественные места |
- члены семьи |
|
|
|
|
|
|
|
- родственники |
Объекты |
|
|
Методы |
- самозащита |
||
- знакомые |
угроз |
|
|
|
защиты |
- личная охрана |
|
- имущество |
|
|
|
|
|||
|
|
|
|
|
|
||
- убийства |
|
|
|
|
|
|
|
- насилие |
|
|
|
Направления |
- юридическая |
||
- грабежи |
Угрозы |
Личность |
|||||
- физическая |
|||||||
- шантаж |
|
|
|
|
защиты |
- информационная |
|
- нападение |
|
|
|
|
|
||
|
|
|
|
|
|
||
- оскорбления |
|
|
|
|
|
|
|
- хулиганы |
|
|
|
|
|
- личности |
|
- невменяемые |
Источники |
|
|
Средства |
- кабинета |
||
(пьяные, |
|
|
- квартиры |
||||
наркоманы и др.) |
угроз |
|
|
|
защиты |
- автомобиля |
|
- преступники |
|
|
|
|
|
- гаража |
|
- на жизнь |
Посягатель |
Время |
- личное |
|
|||
- на здоровье |
- рабочее |
||||||
- на свободу |
|
ства |
|
- отпуск |
|
||
- на личное достоинство |
|
|
|
- командировка |
|||
-на документы
-на деньги и ценности
Рис. 2.1. Концептуальная модель безопасности личности
- ознакомление |
|
|
|
|
- подделка |
|
|
- территория |
|
- нарушение технологии |
|
|
||
|
|
- здания |
||
производства |
|
Объекты |
||
Угрозы |
- цеха, лаборатории |
|||
- кража |
защиты |
|||
- пром. шпионаж |
|
- склады |
||
|
|
- транспорт |
||
- мошенничество |
|
|
||
- уничтожение |
|
|
|
|
- сотрудники |
|
|
- правовая |
|
- посредники |
Источники |
Направления |
||
- организационная |
||||
- поставщики |
угроз |
защиты |
- инженерно-техническая |
|
- преступники |
||||
- конкуренты |
|
|
|
|
- продукция |
|
|
- охрана |
|
|
Меры |
- режим |
||
- средства производства |
Объекты |
- контроль качества |
||
- комплектующие |
угроз |
защиты |
- учет и контроль |
|
- информация |
|
наличия и движения |
||
|
|
Рис. 2.2. Концептуальная модель безопасности продукции
Информационная безопасность - это состояние защищенности информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности
Объекты |
- сведения |
о составе, |
|
угроз |
состоянии и |
|
деятельности |
- целостности |
|
|
|
|
|
|
|
|
- конфиденциальности |
Угрозы |
|
|
|
Способы |
- за счет разглашения |
||
- полноте |
|
|
|
доступа |
- за счет утечки |
|||
- доступности |
|
|
|
|
|
- за счет НСД |
||
|
|
|
|
|
|
|||
- конкуренты |
|
|
|
|
|
|
- правовая |
|
- преступники |
Источники |
Информация |
Направления |
- организационная |
||||
- коррупционеры |
угроз |
|
|
защиты |
- инженерно- |
|||
- административные |
|
|
|
|
техническая |
|||
|
|
|
|
|
|
|||
органы |
|
|
|
|
|
|
- физические |
|
- ознакомление |
|
|
|
|
|
|
||
Цели |
|
|
|
|
Средства |
- аппаратные |
||
- модификация |
|
|
|
|
защиты |
- программные |
||
- уничтожение |
|
|
|
|
|
- криптографические |
||
-люди |
|
|
|
|
|
|||
|
|
|
|
|
|
|
||
- документы |
|
|
|
|
- упреждение |
|||
- публикации |
Источники |
Способы |
||||||
- предотвращение |
||||||||
- тех. носители |
информации |
защиты |
- пресечение |
|||||
- тех. средства |
||||||||
- продукция |
|
|
|
|
- противодействие |
|||
- отходы
Рис. 2.3. Концептуальная модель безопасности информации
Разработка законодательной базы ИБ любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития этого государства. Особое внимание со стороны западных стран к формированию такой базы вызвано все воз растающими затратами на борьбу с «информационными» преступления ми. Все это заставляет страны Запада серьезно заниматься вопросами за конодательства по защите информации. Так, первый закон в этой области в США был принят в 1906 г., а к настоящему времени уже имеется более
500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления.
Определение основных принципов отнесения сведений, имеющих кон фиденциальный характер, к защищаемой информации. Созданием зако нодательной базы в области ИБ каждое государство стремится защитить свои информационные ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:
•информацию открытую - на распространение и использование кото рой не имеется никаких ограничений;
•информацию запатентованную - охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
•информацию, «защищаемую» ее собственником, владельцем с по мощью отработанных механизмов защиты государственной, коммер ческой или другой охраняемой тайны; к этому виду относят обычно информацию, не известную другим лицам, которая или не может быть запатентована, или умышленно не патентуется с целью избежа ния или уменьшения риска завладения ее соперниками, конкурентами.
Защищают и охраняют, как правило, не всю или не всякую информа цию, а наиболее важную, ценную для собственника, ограничение распро странения которой приносит ему какую-то пользу или прибыль, возмож ность эффективно решать стоящие перед ним задачи.
Какую информацию относят к защищаемой?
Во-первых, секретную информацию. К секретной информации в на стоящее время принято относить сведения, содержащие государственную тайну.
Во-вторых, конфиденциальную информацию. К этому виду защи щаемой информации относят обычно сведения, содержащие коммерче скую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и характеризуемые понятием «тайна».
Применительно к органам государственной власти и управления под тайной понимается то, что скрывается от других, что известно опреде ленному кругу людей. Иначе говоря, те сведения, которые не подлежат разглашению, и составляют тайну.
Основное направление использования этого понятия - засекречива ние государством определенных сведений, сокрытие которых от сопер ников, потенциального противника дает ему возможность успешно ре шать жизненно важные вопросы в области обороны страны, политиче ских, научно-технических и иных проблем с меньшими затратами сил
исредств.
Кподобному же ввиду тайны относится засекречивание предприяти ем, фирмой сведений, которые помогают ему эффективно решать задачи производства и выгодной реализации продукции.
Сюда же примыкают и тайны личной жизни граждан, обычно гаран тируемые государством: тайна переписки, врачебная тайна, тайна денеж ного вклада в банке и др. Классификацию информации с точки зрения ее владельца можно представить в виде таблицы (табл. 2.1). Цветом выде лена та информация, защита которой обеспечивается государством.
Таблица 2.1. Классификация информации
|
|
|
Вид информации |
|
|
||
|
|
|
|
|
|
||
Владелец |
Защищаемая |
|
Запатентованная |
Откры |
|||
|
|
|
|
|
|
||
Секретная |
Конфиден |
|
Патент |
|
Авторское |
||
|
|
|
тая |
||||
|
|
циальная |
|
|
|
право |
|
Личность |
|
← Личная |
|
Патент |
|
Авторское |
|
|
|
тайна. |
|
|
|
||
|
|
|
физиче |
|
право |
|
|
|
|
← Персо |
|
|
|
||
|
|
|
ского |
|
физическо |
|
|
|
|
нальные |
|
|
|
||
|
|
|
лица |
|
го лица |
|
|
|
|
данные |
|
|
|
||
|
|
|
|
|
|
|
|
Общество |
|
|
|
Патент |
|
Авторское |
|
|
|
Коммерче |
|
|
право |
|
|
|
|
|
юридиче |
|
|
||
|
|
ская тайна |
|
|
юридиче |
|
|
|
|
|
ского лица |
|
|
||
|
|
|
|
|
ского лица |
|
|
|
|
|
|
|
|
|
|
Госу |
Государст |
Служеб |
|
Государст |
|
|
|
дарство |
венная |
ные |
|
венный |
|
|
|
|
тайна |
сведения |
|
патент |
|
|
|
Защищают и охраняют, как правило, не всю или не всякую информа цию, а наиболее важную, ценную для собственника, ограничение распро странения которой приносит ему какую-то пользу или прибыль, возмож ность эффективно решать стоящие перед ним задачи. При этом различа ют признаки защищаемой информации:
•засекречивать информацию, т. е. ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;
•чем важнее для собственника информация, тем тщательнее он ее за щищает; а для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;
•защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства;
•секретная информация обладает определенным генетическим свой ством: если эта информация является основанием для создания новой информации (документов, изделий и т. п.), то созданная на этой ос нове информация является, как правило, секретной.
Отличительным признаком защищаемой информации является то, что засекречивать ее может только ее собственник (владелец) или упол номоченные им на то лица.
Владельцами (собственниками) защищаемой информации могут быть:
•государство и его структуры (органы); в этом случае к ней относятся сведения, являющиеся государственной, служебной тайной, иные ви ды защищаемой информации, принадлежащей государству или ве домству; в их числе могут быть и сведения, являющиеся коммерче ской тайной;
•предприятия, товарищества, акционерные общества (в том числе
исовместные) и другие - информация является их собственностью
исоставляет коммерческую тайну;
•общественные организации - как правило, партийная тайна, не ис ключена также государственная и коммерческая тайна;
•граждане государства (их права - тайна переписки, телефонных и те леграфных разговоров, врачебная тайна, персональные данные и др. - гарантируются государством, личные тайны - их личное дело; следу ет отметить, что государство не несет ответственности за сохран ность личных тайн).
Понятие «государственная тайна» является одним из важнейших в системе защиты государственных секретов в любой стране. От ее пра вильного определения зависит и политика руководства в области защиты секретов.
Определение этого понятия дано в Законе РФ «О государственной тайне»: «Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведыва тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ».
Модель определения государственных секретов обычно включает
всебя следующие существенные признаки.
1.Предметы, явления, события, области деятельности, составляющие государственную тайну.
2.Противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны.
3.Указание в законе, перечне, инструкции сведений, составляющих го сударственную тайну.
4.Наносимый ущерб обороне, внешней политике, экономике, научнотехническому прогрессу страны и т. п. В случае разглашения (утеч ки) сведений, составляющих государственную тайну.
Какие сведения могут быть отнесены к государственной тайне, опреде лено в Указе Президента РФ от 30.11.1995 г. № 1203. К ним отнесены сведения (указаны лишь разделы): в областях военной, внешнеполитиче ской и внешнеэкономической, экономической, научной, разведыватель ной, контрразведывательной и оперативно-розыскной деятельности.
Нельзя засекречивать информацию как имеющую статус государст венной тайны:
•если ее утечка (разглашение и т. п.) не влечет ущерба национальной безопасности страны; в нарушение действующих законов;
•если сокрытие информации будет нарушать конституционные и за конодательные права граждан;
•для сокрытия деятельности, наносящей ущерб окружающей природ ной среде, угрожающей жизни и здоровью граждан. Подробнее этот перечень содержится в ст. 7 Закона РФ «О государственной тайне».
Какие же используются критерии для отнесения сведений, во-первых, к государственной тайне, во-вторых, к той или иной степени секретности?
Ответ на этот вопрос дают Правила отнесения сведений, составляю щих государственную тайну, к различным степеням секретности, указан ные в постановлении Правительства РФ № 870 от 04.09.1995 г.
К сведениям особой важности следует относить сведения, распро странение которых может нанести ущерб интересам РФ в одной или не скольких областях.
Ксовершенно секретным сведениям следует относить сведения, рас пространение которых может нанести ущерб интересам министерства (ведомства) или отраслям экономики РФ в одной или нескольких облас тях.
Ксекретным сведениям следует относить все иные из числа сведе ний, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.
Как видно из изложенного, разница между тремя степенями секрет ности зависит от величины ущерба.
Понятие, виды и размер ущерба разработаны пока еще недостаточно и, видимо, будут отличны для каждого конкретного объекта защиты - со держания сведений, составляющих государственную тайну, сущности отраженных в ней фактов, событий, явлений действительности. В зави симости от вида, содержания и размеров ущерба можно выделить группы некоторых видов ущерба при утечке (или возможной утечке) сведений, составляющих государственную тайну.
Политический ущерб может наступить при утечке сведений полити ческого и внешнеполитического характера, о разведывательной деятель ности спецслужб государства и др. Политический ущерб может выра жаться в том, что в результате утечки информации могут произойти серь езные изменения в международной обстановке не в пользу РФ, утрата страной политических приоритетов в каких-то областях, ухудшение от ношений с какой-либо страной или группой стран и т. д.
Экономический ущерб может наступить при утечке сведений любого содержания: политического, экономического, военного, научно-техничес
кого и т. д. Экономический ущерб может быть выражен прежде всего в денежном исчислении. Экономические потери от утечки информации
могут быть прямыми и косвенными.
Так, прямые потери могут наступить в результате утечки секретной информации о системах вооружения, обороны страны, которые в резуль тате этого практически потеряли или утратили свою эффективность и требуют крупных затрат на их замену или переналадку.
Косвенные потери чаще всего выражаются в виде размера упущеннои выгоды: срыв переговоров с иностранными фирмами, о выгодных сделках с которыми ранее была договоренность; утрата приоритета в на учном исследовании, в результате соперник быстрее довел свои исследо вания до завершения и запатентовал их и т. д.
Моральный ущерб, как правило, неимущественного характера насту пает от утечки информации, вызвавшей или инициировавшей противо правную государству пропагандистскую кампанию, подрывающую репу тацию страны, приведшую к выдворению из каких-то государств наших
дипломатов, разведчиков, действовавших под дипломатическим прикры тием, и т. п.
Проблема засекречивания информации и определения степени сек ретности сведений, документов, изделий и работ является одной из стержневых во всей деятельности по защите информации. Она имеет большое государственное значение, определяет методологию и методику защиты информации, объем работ по ее защите и другие обстоятельства, связанные с деятельностью государственных органов, предприятий и ор ганизаций в этой области. Правила засекречивания информации опреде ляют в конечном счете политику государства в области защиты секретов. Этим и объясняется, что перечни сведений, составляющих государствен ную тайну, утверждаются у нас в стране на самом высоком уровне, в них находит отражение концепция руководства страны в области защиты го сударственных секретов.
Засекречивать информацию имеют право органы власти, управления и должностные лица, наделенные соответствующими полномочиями. Они
•осуществляют политику государства в области защиты информации;
•определяют категории сведений, подлежащих защите и, следова тельно, засекречиванию, и закрепляют это в законодательных актах;
•разрабатывают перечни сведений, подлежащих засекречиванию;
•определяют степени секретности документов, изделий, работ и све дений и проставляют на носителях защищаемой информации соот ветствующие грифы секретности.
Таким образом, засекречивание информации - это совокупность ор ганизационно-правовых мер, регламентированных законами и другими нормативными актами, по введению ограничений на распространение и использование информации в интересах ее собственника (владельца).
Обозначим кратко основные принципы засекречивания информации.
1.Законность засекречивания информации. Заключается в осуществле нии его строго в рамках действующих законов и других подзакон ных нормативных актов. Отступление от этого принципа может на нести серьезный ущерб интересам защиты информации, интересам личности, общества и государства, в частности незаконным сокры тием от общества информации, не требующей засекречивания, или утечки важной информации.
2.Обоснованность засекречивания информации. Заключается в уста новлении путем экспертной оценки целесообразности засекречива ния конкретных сведений, вероятных экономических или иных по-
следствий этого акта, исходя из баланса жизненно важных интересов личности, общества и государства. Неоправданно засекречивать ин формацию, вероятность раскрытие которой превышает возможность сохранения ее в тайне.
3.Своевременность засекречивания информации. Заключается в уста новлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
4.Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам. Это в первую оче редь относится к области защиты государственной тайны. Что каса ется коммерческой тайны, то предприятия наделены правами засек речивания информации, кроме оговоренных в законе случаев.
ВРФ в соответствии с Законом «О государственной тайне» склады вается в настоящее время следующая форма засекречивания информации. Закон определяет категории сведений, отнесенных к государственной тайне, затем президент РФ на основе предложений правительства РФ ут
верждает два перечня: Перечень должностных лиц органов государст венной власти и управления, наделенных полномочиями по отнесению сведений к государственной тайне, и Перечень сведений, отнесенных к государственной тайне - для осуществления единой государственной политики в области засекречивания информации.
Руководители, наделенные полномочиями по засекречиванию ин формации, утверждают своими приказами перечни сведений, подлежа щих засекречиванию, в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью. Они же наделяются полномо чиями распоряжения этими сведениями, пересмотра степени их секрет ности и рассекречивания.
Предприятия при определении степени (грифа) секретности докумен тов, изделий, работ по-прежнему будут руководствоваться перечнями сведений, подлежащих засекречиванию. Таким образом, до исполнителей будут доводиться стратегические установки на применение режимных ограничений в конкретных ситуациях. Рассмотренный порядок засекре чивания сведений представлен на рис. 2.4.
Степень секретности и конфиденциальности информации, отобра женной в документах, изделиях и т. д., не остается постоянной. Она обычно уменьшается и, реже (например, документы представляют исто рическую и иную ценность), может увеличиваться. Степень секретности и конфиденциальности информации периодически должна пересматри ваться. При этом она может быть увеличена, снижена до фактической или рассекречена вообще.
Органы государственной |
Правовые |
власти |
акты |
Федеральное |
Закон РФ |
собрание |
"О государственной тайне" |
|
Перечень сведений, |
|
отнесенных к |
|
государственной тайне |
Президент РФ Правительство РФ
Руководитель
ведомства
Руководитель
организации
(предприятий)
Перечень должностных лиц, наделенных полномочиями по отнесению сведений к ГТ
Правила отнесения сведений, составляющих ГТ к различным степеням секретности
Приказы о введении в действие правовых актов
Инструкции по выполнению
требований приказов
Рис. 2.4. Порядок засекречивания информации, составляющей государственную тайну
Рассекречивание конфиденциальной и секретной информации, работ, документов, изделий - это деятельность предприятий по снятию (частич ному или полному) ограничений на доступ к ранее засекреченной ин формации, на доступ к ее носителям, вызываемая требованиями законов и объективными факторами: изменением международной и внутригосу дарственной обстановки, появлением более совершенных видов опреде ленной техники, снятием изделий с производства, передачей (продажей) научно-технических решений оборонного характера в народное хозяйст во, продажей изделия за границу и т. д., а также взятием государством на себя международных обязательств по открытому обмену сведениями, со ставляющими в РФ государственную тайну. Информация должна оста ваться секретной или конфиденциальной до тех пор, пока этого требуют интересы национальной безопасности или конкурентной и коммерческой деятельности предприятия.
Принципиальные аспекты рассекречивания информации могут быть изложены в следующих основных положениях.
1. Информация не подлежит засекречиванию, а засекреченная должна быть рассекречена, если это сделано необоснованно и в нарушение действующих законов, в целях сокрытия нарушений законности,