-злоумышленные действия внешних работников 18%
-промышленный шпионаж 6%
-неизвестные причины 15%
Тема 2. Обеспечение информационной безопасности на государственном уровне
2.1 Доктрина в области информационной безопасности РФ
Государственная политика Российской федерации в области защиты информации (ЗИ) сформировалась в начале 90-х годов и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.
Доктрина в области информационной безопасности РФ была утверждена 9 сентября 2000 г.
президентом. Она развивает концепцию национальной безопасности применительно к информационной сфере.
Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина служит основой для:
Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
Подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;
Разработки целевых программ обеспечения информационной безопасности Российской Феде-
рации.
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
I.Информационная безопасность Российской Федерации
1.Национальные интересы Российской Федерации в информационной сфере и их обеспечение
2.Виды угроз информационной безопасности Российской Федерации
3.Источники угроз информационной безопасности Российской Федерации
4.Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
II.Методы обеспечения информационной безопасности Российской Федерации
5.Общие методы обеспечения информационной безопасности Российской Федерации
6.Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни.
III.Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации.
8.Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
9.Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации
10.Основные функции системы обеспечения информационной безопасности Российской Федерации
11.Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
8
Доктрина определяет следующие основные принципы государственной политики:
1.Соблюдение конституции РФ, законодательства, общепризнанных принципов и норм международного права. Ст.29 Конституции РФ гласит, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
2.Открытость в реализации функций федеральных органов власти и общественных объединений, предусматривающая информированность общества об их деятельности с учетом ограничений, установленных законодательством РФ.
3.Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса.
4.Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.
Доктриной определены следующие функции государства в области ИБ:
-Осуществлять контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области безопасности.
-Проводить необходимую протекционистскую политику в отношении производителей средств информации и защиты информации на территории РФ и защищать внутренний рынок от проникновения на него некачественных информационных продуктов и средств информатизации.
-Способствовать предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам и глобальным информационным сетям.
Мероприятия по реализации государственной политики обеспечения информационной без-
опасности РФ, определяемые Доктриной:
-Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере.
-Принятие и реализация федеральных программ в области повышения правовой культуры и компьютерной грамотности граждан, создание безопасных ИТ, обеспечение технологической независимости страны в области создания и эксплуатации информационно – технологических систем оборонного значения.
-Гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизирующих систем управления, информационных и телекоммуника-
ционных систем общего и специального значения.
К первоочередным задачам в области обеспечения информационной безопасности, согласно выводам отнесены:
Разработка и внедрение механизмов реализации действующего законодательства, регулирующего отношения в информационной сфере;
Пресечение компьютерной преступности (включая методическое и технологическое обеспечение следственной, оперативно-розыскной деятельности правоохранительных органов, специальных служб, судебных разбирательств, в том числе подготовку кадров в этой сфере);
Повышение правовой и информационной культуры, а также компьютерной грамотности граждан.
Кобъектам государственной защиты в области информационной безопасности РФ относятся:
1. Все виды информационных ресурсов (ИР)
2.Права граждан, юридических лиц, государства на получение, распространение, использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
3.Система формирования, распространения, использования ИР, включающая ИС разного класса и назначения, библиотеки, архивы, БД и БнД, ИТ, регламенты и процедуры сбора, обработки
ипередачи, хранения информации, научно-технический персонал.
4.Информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена, системы и средства защиты информации.
5.Система формирования общественного сознания (мировоззрение, общественные ценности, социально допустимые стереотипы поведения)
9
В соответствии с концепцией информационной безопасности основные положения государственной политики в области защиты информации заключается в следующем:
1.Ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства.
2.Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется.
3.Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляется с учетом определенного законом права собственности на эту информацию.
4.Государство формирует нормативно – правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере.
5.Государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации.
6.Государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информации и защиты информации.
7.Государство способствует предоставлению гражданам доступа к МИР, глобальным информационным сетям.
8.Государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации.
9.Государство формирует федеральную программу информационной безопасности, объединяющую усилия государственных организаций и коммерческих структур.
2.2Правовая основа системы лицензирования и сертификации в РФ
Для обеспечения защиты государственной тайны и конфиденциальной информации в РФ действует Государственная система защиты информации (ГСЗИ), которая включает:
Совокупность органов (ФСБ, ФСТЭК, СБ), сил и средств, осуществляющих деятельность в области защиты информации (ЗИ);
Систему лицензирования деятельности в области ЗИ;
Систему сертификации средств ЗИ;
Систему подготовки и переподготовки специалистов в области ЗИ.
Необходимость введения государством механизма лицензирования и сертификации в области защиты информации определяется следующими причинами:
Выполнение работ, в процессе реализации которых могут использоваться сведения, составляющие государственную тайну, может осуществляться, наряду с государственными учреждениями и организациями, - предприятиями и учреждениями негосударственного сектора, как это принято в большинстве цивилизованных стран;
Органы государственной власти, Вооруженные Силы и спецслужбы перестали быть исключительными потребителями средств ЗИ.
Ныне эти средства в значительных объемах востребованы организациями финансово-кредитной сферы и предпринимательскими структурами, а в ближайшем будущем получат распространение среди граждан РФ. Наиболее приемлемым, а может быть и единственно приемлемым способом воздействия государства на данную сферу, установления разумного контроля в этой области является формирование системы лицензирования.
Лицензирование - это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования.
Лицензия - документ, дающий право на осуществление указанного вида деятельности в течении определенного времени.
Перечень видов деятельности в области ЗИ, на которые выдаются лицензии, определен Законом РФ - "О лицензировании отдельных видов деятельности", принятом в августе 2001 года. К ним, в частности, относится разработка, производство, реализация и сервисное обслуживание:
10
В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности в области ЗИ:
Разработка, производство, распространение, техническое обслуживание и предоставление услуг в области шифрования информации; шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
Деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
Деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
Деятельность по технической защите конфиденциальной информации;
Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными
предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Срок действия лицензии не может быть менее чем пять лет и может быть продлен по заявлению лицензиата. Продление срока действия лицензии осуществляется в порядке переоформления документа, подтверждающего наличие лицензии. За рассмотрение лицензирующим органом заявления о предоставлении лицензии взимается лицензионный сбор в размере 300 рублей. За предоставление лицензии взимается лицензионный сбор в размере 1000 рублей.
Сертификация - это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.
Сертификат на средство ЗИ - документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.
Законодательной и нормативной базой лицензирования и сертификации в области ЗИ являются следующие документы.
Законы РФ:
"О государственной тайне" № 5485-1 от 21.07.93;
"О сертификации продукции и услуг" №5151-1 от 10.06.93;
"О защите прав потребителей" № 2300-1 от 07.02.92;
"Об информации, информационных технологиях и защите информации" 2006;
"О стандартизации" № 5154-1 от 10.06.93.
“О лицензировании отдельных видов деятельности”, от 8.08 2001г. №128 (ред. от 11.03.2003г. №32);
Постановления Правительства РФ:
"О лицензировании отдельных видов деятельности" № 1418 от 24.12.94;
"О лицензировании деятельности предприятий..." № 333 от 15.04.95;
"О сертификации средств ЗИ" № 608 от 26.06.95. (ред. №509 от 23.04.96.)
Атакже Указы Президента РФ, и ряд подзаконных актов.
Система лицензирования построена на следующих основных принципах:
1. Лицензирование в области ЗИ является обязательным.
11
2.Деятельность в области ЗИ физических и юридических лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям).
3.Лицензии на право деятельности в области ЗИ выдаются только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить установленным требованиям).
4.Лицензии выдаются только предприятиям, зарегистрированным на территории РФ.
5.Лицензии выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителя предприятия.
6.Для получения лицензии предприятие обязано предъявить определенный перечень документов.
К заявлению на получение лицензии необходимо приложить следующие документы:
Копия свидетельства о государственной регистрации предприятия;
Копии учредительных документов, заверенных нотариусом;
Копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
Справка налогового органа о постановке на учет;
Представление органов государственной власти РФ с ходатайством о выдаче лицензии;
Документ, подтверждающий оплату рассмотрения заявления.
Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, предъявляются требования по:
Наличию и составу необходимых аппаратно-программных средств и помещений; размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ;
Обеспечению режима и порядка доступа к средствам криптографической ЗИ; обеспечению необходимой технической и эксплуатационной документацией;
Уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС);
Режиму эксплуатации и хранения средств криптографической ЗИ.
Система лицензирования обеспечивает в отношении АС выполнение 3 основных требований к защищаемой информации:
Доступность;
Целостность;
Конфиденциальность.
Лицензирование в области производства средств ЗИ и на предмет предоставления услуг в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-про- изводителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.
Правовая база защиты информации в РФ
1.Закон РФ "О Государственной тайне" (в ред. - Федерального закона от 06.10.97 N 131-ФЗ) 2. Закон РФ "О коммерческой тайне" (от 29 июля 2004г.)
3.Закон РФ "О техническом регулировании" (от 27 декабря 2002 г. N 184-ФЗ)
12