- •Предисловие
- •Введение
- •1. Понятие национальной безопасности
- •1.1. Интересы и угрозы в области национальной безопасности
- •1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание
- •2. Информационная безопасность в системе национальной безопасности Российской Федерации
- •2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности
- •2.2. Национальные интересы в информационной сфере
- •2.3. Источники и содержание угроз в информационной сфере
- •3. Государственная информационная политика
- •3.1. Основные положения государственной информационной политики Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности
- •4. Информация - наиболее ценный ресурс современного общества
- •4.1. Понятие «информационный ресурс»
- •4.2. Классы информационных ресурсов
- •5. Проблемы информационной войны
- •5.1. Информационное оружие и его классификация
- •5.2. Информационная война
- •6.1. Информационные процессы в сфере государственного и муниципального управления
- •6.2. Виды информации и информационных ресурсов в сфере ГМУ
- •6.3. Состояние и перспективы информатизации сферы ГМУ
- •7.1. Структура системы подготовки кадров в области информационной безопасности
- •7.2. Состав учебно-методического обеспечения системы и ее подсистема управления
- •7.3. Основные направления учебной деятельности
- •Литература
- •Часть 2. Информационная безопасность автоматизированных систем
- •1. Современная постановка задачи защиты информации
- •2. Организационно-правовое обеспечение информационной безопасности
- •2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации
- •2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
- •3. Информационные системы
- •3.1. Общие положения
- •3.2. Информация как продукт
- •3.3. Информационные услуги
- •3.3.1. Разновидности информационных систем
- •3.3.2. Службы
- •3.4. Источники конфиденциальной информации в информационных системах
- •3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах
- •3.6. Виды технических средств информационных систем
- •4. Угрозы информации
- •4.1. Классы каналов несанкционированного получения информации
- •4.2. Причины нарушения целостности информации
- •4.3. Виды угроз информационным системам
- •4.4. Виды потерь
- •4.5. Информационные инфекции
- •4.6. Убытки, связанные с информационным обменом
- •4.6.1. Остановки или выходы из строя
- •4.6.5. Маскарад
- •4.6.7. Вторжение в информационную систему
- •4.7. Модель нарушителя информационных систем
- •5. Методы и модели оценки уязвимости информации
- •5.1. Эмпирический подход к оценке уязвимости информации
- •5.2. Система с полным перекрытием
- •5.3. Практическая реализация модели «угроза - защита»
- •6. Рекомендации по использованию моделей оценки уязвимости информации
- •8. Анализ существующих методик определения требований к защите информации
- •8.1. Требования к безопасности информационных систем в США
- •8.2. Требования к безопасности информационных систем в России
- •8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
- •8.4. Оценка состояния безопасности ИС Франции
- •8.4.1. Состояние безопасности малых информационных систем
- •8.4.2. Анализ состояния безопасности систем обмена данными
- •8.5. Факторы, влияющие на требуемый уровень защиты информации
- •9. Функции и задачи защиты информации
- •9.1. Общие положения
- •9.3. Классы задач защиты информации
- •9.4. Функции защиты
- •9.5. Состояния и функции системы защиты информации
- •10. Стратегии защиты информации
- •11. Способы и средства защиты информации
- •12. Криптографические методы защиты информации
- •12.2. Основные алгоритмы шифрования
- •12.3. Цифровые подписи
- •12.4. Криптографические хеш-функции
- •12.5. Криптографические генераторы случайных чисел
- •12.6. Обеспечиваемая шифром степень защиты
- •12.7. Криптоанализ и атаки на криптосистемы
- •13. Архитектура систем защиты информации
- •13.1. Требования к архитектуре СЗИ
- •13.2. Построение СЗИ
- •13.3. Ядро системы защиты информации
- •13.4. Ресурсы системы защиты информации
- •13.5. Организационное построение
- •Литература
- •1. Рабочая программа по дисциплине «Основы информационной безопасности»
- •2. Индивидуальные задания
- •3. Вопросы к экзамену
- •11. Термины по защите информации
- •Оглавление
в результате неумелого руководства и должностных ошибок, нару шения конституционных и других законодательных прав граждан.
2.Информация рассекречивается не позднее сроков, установленных при ее засекречивании. Ранее этих сроков подлежит рассекречива нию лишь информация, которая попадает под действие взятых РФ на себя международных обязательств по открытому обмену инфор мацией. Срок засекречивания информации, отнесенной к государст венной тайне, не должен превышать 30 лет. Правом продления сроков засекречивания информации наделяются руководители цен тральных органов федеральной исполнительной власти, осущест вившие отнесение соответствующих сведений к государственной тайне.
3.Информация не подлежит засекречиванию, а засекреченная должна быть рассекречена, если содержащиеся в ней новые научные, про ектные, технологические и т. п. разработки находятся ниже мирово
го технологического уровня или достаточно подробно раскрыты
вопубликованной зарубежной или в отечественной литературе.
4.Рассекречиванию (разглашению) не подлежат сведения, затраги вающие личную (неслужебную) жизнь граждан страны, если на об ратное не имеется согласия самих граждан, а в случае их смерти - их ближайших родственников. Иной порядок такого рассекречивания рассматривается через суд.
2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
Второй функцией организационно-правового обеспечения информа ционной безопасности является определение системы органов и должно стных лиц, ответственных за обеспечение информационной безопасности в стране. Основой для создания государственной системы организацион но-правового обеспечения защиты информации является создаваемая в настоящее время государственная система защиты информации, под которой понимается совокупность федеральных и иных органов управле ния и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации инфор мационных отношений и направленных на обеспечение безопасности информационных ресурсов.
Основные положения правового обеспечения защиты информации приведены в Доктрине информационной безопасности РФ, а также в других законодательных актах.
Под информационной безопасностью РФ понимается состояние за щищенности ее национальных интересов в информационной сфере, оп ределяющихся совокупностью сбалансированных интересов личности, общества и государства.
Напомним содержание интересов личности, общества и государства в информационной сфере.
Интересы личности в информационной сфере заключаются в реали зации конституционных прав человека и гражданина на доступ к инфор мации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интел лектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспе чении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общест венного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в соз дании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод чело века и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверените та и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного междуна родного сотрудничества.
На основе национальных интересов РФ в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Рассмотрим структуру государственной системы информационной безопасности, представленную на рис. 2.5, и основные функции ее со ставных частей.
Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Прези дента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государствен ной системы защиты информации от утечки по техническим каналам, по ложение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. №912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Ос новной задачей Государственной системы защиты информации является
проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политиче ской, научно-технической и других сферах деятельности страны.
НОРМЫ |
|
УПРАВЛЕНИЕ |
КОНТРОЛЬ |
||
Международное |
|
Организация |
Международный |
||
право |
Объединенных Наций |
суд |
|||
|
|
Совет безопасности ООН |
|
||
Федеральное за |
|
Президент РФ |
Конституцион |
||
конодательство |
Совет безопасности |
ный суд |
|||
|
|
Государственная дума |
Верховный суд |
||
|
|
|
Межведомственная |
Генеральная |
|
|
|
комиссия по защите |
прокуратура |
||
|
|
государственной тайны |
|
||
|
|
ФСТЭК, ФСБ, СВР и др. |
|
||
Ведомственные |
|
Органы |
Суды |
||
нормативные |
|
государственного |
|
||
акты |
|
управления |
Прокуратура |
||
|
|
|
Органы по защите |
||
|
|
|
информации |
|
|
|
|
|
|
|
|
|
|
|
Руководитель |
||
Инструктивно- |
Административ |
||||
методические |
|
|
объединения, |
|
ные органы |
документы |
|
|
подразделения |
|
|
|
|
|
|
||
|
|
|
Органы по защите |
|
|
|
|
|
информации |
|
|
Рис. 2.5. Структура государственной системы информационной безопасности
Общая организация и координация работ в стране по защите инфор мации, обрабатываемой техническими средствами, осуществляется Фе деральная служба по техническому и экспортному контролю (ФСТЭК России).
ФСТЭК России является федеральным органом исполнительной вла сти, осуществляющим реализацию государственной политики, организа цию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по сле дующим вопросам в области обеспечения информационной безопасности:
1) обеспечению безопасности информации в системах информацион ной и телекоммуникационной инфраструктуры, оказывающих сущест венное влияние на безопасность государства в информационной сфере;
101
2)противодействию иностранным техническим разведкам на терри тории РФ;
3)обеспечению защиты (некриптографическими методами) инфор мации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращению ее утечки по техническим каналам, несанкционированного доступа к ней, специ альных воздействий на информацию (носители информации) в целях ее
добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;
4)защите информации при разработке, производстве, эксплуатации
иутилизации неинформационных излучающих комплексов, систем и уст ройств.
Основными задачами в области обеспечения информационной безо пасности для ФСТЭК России являются:
1) реализация в пределах своей компетенции государственной поли тики в области обеспечения безопасности информации в ключевых сис темах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
2) осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуата ции и утилизации неинформационных излучающих комплексов, систем
иустройств;
3)организация деятельности государственной системы противодей ствия техническим разведкам и технической защиты информации на фе деральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;
4)осуществление самостоятельного нормативно-правового регули рования вопросов: обеспечения безопасности информации в ключевых системах информационной инфраструктуры; противодействия техниче ским разведкам; технической защиты информации; размещения и ис пользования иностранных технических средств наблюдения и контроля
входе реализации международных договоров РФ, иных программ и про ектов на территории РФ, на континентальном шельфе и в исключитель ной экономической зоне РФ; координации деятельности органов госу дарственной власти по подготовке развернутых перечней сведений, под лежащих засекречиванию, а также методического руководства этой деятельностью;
5)обеспечение в пределах своей компетенции безопасности инфор мации в ключевых системах информационной инфраструктуры, противо-
действия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов го сударственной власти субъектов РФ, в федеральных органах исполни тельной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;
6)прогнозирование развития сил, средств и возможностей техниче ских разведок, выявление угроз безопасности информации;
7)противодействие добыванию информации техническими средст вами разведки, техническая защита информации;
8)осуществление координации деятельности федеральных органов
исполнительной власти, органов исполнительной власти субъектов РФ
иорганизаций по государственному регулированию размещения и ис пользования иностранных технических средств наблюдения и контроля
входе реализации международных договоров РФ, иных программ и про ектов на территории РФ, на континентальном шельфе и в исключитель ной экономической зоне РФ;
9)осуществление в пределах своей компетенции контроля деятель ности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федераль ных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления
иорганизациях;
10)осуществление центральным аппаратом ФСТЭК России органи зационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны.
ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными закона ми, актами президента РФ и правительства РФ, международными дого ворами РФ, приказами и директивами министра обороны РФ в части, ка сающейся ФСТЭК России, настоящим положением о ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России.
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов го сударственной власти субъектов РФ, федеральными органами исполни-
тельной власти, органами исполнительной власти субъектов РФ, органа ми местного самоуправления и организациями.
ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами ис полнительной власти субъектов РФ, органами местного самоуправления и организациями.
Обеспечение информационной безопасности является одним из ос новных направлений деятельности органов Федеральной службы безо пасности.
Обеспечение информационной безопасности осуществляется ими
впределах своих полномочий:
•при формировании и реализации государственной и научно-техни ческой политики в области обеспечения информационной безопасно сти, в том числе с использованием инженерно-технических и крипто графических средств;
•при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных сис тем, а также систем шифрованной, засекреченной и иных видов спе циальной связи в РФ и ее учреждениях, находящихся за пределами РФ.
ФСБ России предоставлено право:
1) осуществлять в соответствии со своей компетенцией регулирова ние в области разработки, производства, реализации, эксплуатации шиф ровальных (криптографических) средств и защищенных с использовани ем шифровальных средств систем и комплексов телекоммуникаций, рас положенных на территории РФ, а также в области предоставления услуг по шифрованию информации в РФ, выявления электронных устройств, предназначенных для негласного получения информации, в помещениях
итехнических средствах;
2)осуществлять государственный контроль за организацией и функ ционированием криптографической и инженерно-технической безопас ности информационно-телекоммуникационных систем, систем шифро ванной, засекреченной и иных видов специальной связи, контроль за соблюдением режима секретности при обращении с шифрованной ин
формацией в шифровальных подразделениях государственных органов и организаций на территории РФ и в ее учреждениях, находящихся за пределами РФ, а также в соответствии со своей компетенцией контроль за обеспечением защиты особо важных объектов (помещений) и находя щихся в них технических средств от утечки информации по техническим каналам;
3) участвовать в определении порядка разработки, производства, реа лизации, эксплуатации и обеспечения защиты технических средств обра ботки, хранения и передачи информации ограниченного доступа, предна значенных для использования в учреждениях РФ, находящихся за ее пре делами;
4) обеспечивать выявление устройств перехвата информации на осо бо важных объектах (в помещениях) и технических средствах, предна значенных для использования в федеральных органах государственной власти.
Служба внешней разведки РФ для осуществления своей деятельности может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.
Министерство обороны (Минобороны России) организует деятель ность по обеспечению информационной безопасности, защите государст венной тайны в Вооруженных силах, а также в установленном порядке в пределах своей компетенции работы по сертификации средств защиты информации.
Другие органы государственного управления (министерства, ведом ства) в пределах своей компетенции:
•определяют перечень охраняемых сведений;
•обеспечивают разработку и осуществление технически и экономиче ски обоснованных мер по защите информации на подведомственных предприятиях;
•организуют и координируют проведение НИОКР в области защиты информации в соответствии с государственными (отраслевыми) про граммами;
•разрабатывают отраслевые документы по защите информации;
•контролируют выполнение на предприятиях отрасли установленных норм и требований по защите информации;
•создают отраслевые центры по защите информации и контролю эф фективности принимаемых мер;
•организуют подготовку и повышение квалификации специалистов по защите информации.
Для осуществления указанных функций в составе органов государст венного управления функционируют научно-технические подразделения (центры) защиты информации и контроля.
На предприятиях, выполняющих оборонные и иные секретные рабо ты, функционируют научно-технические подразделения защиты инфор мации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.
Кроме того, в отраслях промышленности и в регионах страны созда ются и функционируют лицензионные центры, осуществляющие органи зацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычисли тельной техники и средств связи, испытательные центры по сертифика ции конкретных видов продукции по требованиям безопасности инфор мации, органы по аттестации объектов информатики.
Государственная система обеспечения информационной безопасно сти создается для решения следующих проблем, требующих законода тельной поддержки:
•защита персональных данных;
•борьба с компьютерной преступностью, в первую очередь в финан совой сфере;
•защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;
•защита государственных секретов;
•создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;
•обеспечение безопасности АСУ потенциально опасных производств;
•страхование информации и информационных систем;
•сертификация и лицензирование в области безопасности, контроль безопасности информационных систем;
•организация взаимодействия в сфере защиты данных со странамичленами СНГ и другими государствами.
Анализ современного состояния информационной безопасности в России показывает, что уровень ее в настоящее время не соответствует жизненно важным потребностям личности, общества и государства.
Такое положение дел в области обеспечения информационной безо пасности требует безотлагательного решения ряда ключевых проблем.
1.Формирование законодательной и нормативно-правовой базы обес печения информационной безопасности, в том числе разработка рее стра информационного ресурса, регламента информационного обме на для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по со блюдению требований информационной безопасности.
2.Разработка механизмов реализации прав граждан на информацию.
3.Формирование системы информационной безопасности, обеспечи вающей реализацию государственной политики в этой области.
4.Совершенствование методов и технических средств, обеспечиваю щих комплексное решение задач защиты информации.
5. Разработка критериев и методов оценки эффективности систем
исредств информационной безопасности.
6.Исследование форм и способов цивилизованного воздействия госу дарства на формирование общественного сознания.
7.Комплексное исследование деятельности персонала информацион ных систем, в том числе методов повышения мотивации, моральнопсихологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.
Разработка правового обеспечения защиты информации идет по трем направлениям.
1.Защита прав личности на частную жизнь.
2.Защита государственных интересов.
3.Защита предпринимательской и финансовой деятельности.
Структура нормативной базы по вопросам информационной безопас ности включает:
•Конституцию РФ;
•федеральные законы и законы РФ;
•кодексы РФ (уголовный, гражданский, об административных право нарушениях);
•постановления правительства РФ;
•ведомственные нормативные акты, ГОСТы, руководящие документы.