- •Введение
- •Глава 1. Информация как объект правовой защиты
- •1.1. Необходимость защиты информации
- •1.2. Основные термины и определения
- •1.3. Структура информационных ресурсов
- •1.4. Модель информационной безопасности.
- •1.5. Правовая модель отношений субъектов информационного обмена
- •1.6. Особенность отношений субъектов информационного обмена в сети Интернет
- •1.7. Структура нормативных правовых актов в области информационной безопасности.
- •1.8. Судебная практика в области компьютерных преступлений
- •Контрольные вопросы к главе 1
- •Глава 2. Государственная система обеспечения информационной безопасности Российской Федерации
- •2.1 Организационная структура государственной системы обеспечения информационной безопасности
- •2.2. Совет Безопасности Российской Федерации
- •2.3. Комиссия Совета Федерации по информационной политике
- •2.4. Федеральные органы исполнительной власти в области информатизации
- •2.6. Правительственная Комиссия по федеральной связи
- •2.7. Федеральная служба безопасности Российской Федерации
- •2.8. Федеральная служба по техническому и экспортному контролю
- •2.9. Федеральная служба охраны Российской Федерации
- •2.10. Служба внешней разведки Российской Федерации
- •2.11. Федеральное агентство по информационным технологиям
- •2.12. Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия
- •2.13. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам
- •2.15. Обеспечение информационной безопасности на уровне субъектов Российской Федерации
- •Контрольные вопросы к главе 2
- •Глава 3. Нормативно-правовое обеспечение информационной безопасности
- •3.1. Международные стандарты в области информационной безопасности
- •3.2. Основные нормативно-правовые документы Российской Федерации в области защиты информации
- •Международные документы
- •Концептуальные документы Российской Федерации
- •Федеральные законы Российской Федерации
- •Указы Президента Российской Федерации
- •Постановления Правительства Российской Федерации
- •Постановления Федеральных органов
- •Государственные стандарты
- •Руководящие документы Гостехкомиссии
- •3.3. Конституция Российской Федерации
- •3.4. Концепция национальной безопасности Российской Федерации
- •3.5. Доктрина информационной безопасности Российской Федерации
- •3.6. Концепция использования информационных технологий в деятельности федеральных органов исполнительной власти
- •3.7. Концепция региональной информатизации
- •3.8. Концепция создания системы персонального учета населения Российской Федерации
- •3.9. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •3.10. Концепция формирования информационного общества в России
- •3.11. Стратегия развития информационного общества в России
- •3.12. Закон «Об информации, информационных технологиях и о защите информации»
- •3.13. Кодекс Российской Федерации об административных правонарушениях
- •3.14. Уголовный кодекс Российской Федерации
- •3.15. Гражданский Кодекс Российской Федерации
- •3.16. Налоговый кодекс Российской Федерации
- •3.17. Таможенный Кодекс Российской Федерации
- •3.18. Трудовой Кодекс Российской Федерации
- •3.19. Федеральный Закон «О государственной тайне»
- •3.20. Федеральный Закон «О коммерческой тайне»
- •3.21. Федеральный Закон «О техническом регулировании»
- •3.22. Федеральный Закон «Об электронной цифровой подписи»
- •3.23. Федеральный Закон «О персональных данных»
- •3.24. Федеральный Закон «О связи»
- •3.25. Федеральный Закон «О государственной автоматизированной системе Российской Федерации «Выборы»
- •3.26. Федеральный Закон «О рекламе»
- •3.27. Федеральный Закон «О средствах массовой информации»
- •3.28. Федеральный Закон «О безопасности»
- •3.29. Федеральный Закон «О лицензировании отдельных видов деятельности»
- •3.30. Федеральный Закон «О транспортной безопасности»
- •3.32. Федеральный Закон «Об архивном деле в Российской Федерации»
- •Контрольные вопросы к главе 3
- •Заключение.
- •Литература
- •Интернет-ресурсы:
Глава 3. Нормативно-правовое обеспечение информационной безопасности
3.1. Международные стандарты в области информационной безопасности
Уровень развития информационно-коммуникационных технологий в разных странах различен. Поэтому задача создания систем информационной безопасности и их нормативно-правового обеспечения возникали в разное время. В связи с этим в разных государствах возник ряд стандартов, которые имели статус государственных. Со временем такие стандарты были доработаны и стали иметь статус региональных и международных.
Наиболее значительными стандартами в области защиты информации за рубежом являются: «Критерии безопасности компьютерных систем», разработанные Министерством обороны США ("Оранжевая книга"), "Европейские критерии безопасности информационных технологий", "Федеральные критерии безопасности информационных технологий США", "Канадские критерии безопасности компьютерных систем" и, наконец, "Общие критерии безопасности информационных технологий" ("Общие критерии").
Критерии безопасности компьютерных систем, неформально названные «Оранжевой книгой» по цвету обложки брошюры, были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности компьютерных систем военного назначения. Это был первый документ в области стандартов информационной безопасности. В 1985 году «Оранжевая книга» была утверждена в качестве правительственного стандарта США.
187
Стандарт дает определение безопасной компьютерной системы как системы, поддерживающей управление доступом к информации таким образом, что возможность чтения, записи, создания и удаления информации получают только авторизованные пользователи или процессы, действующие от их имени. В «Оранжевой книге» сформулированы шесть базовых требований безопасности, которым должны соответствовать компьютерные системы, использующиеся для обработки конфиденциальной информации.
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом, позволяя эффективно реализовать разграничение доступа к категорированной информации.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и/или режимы доступа к этому объекту.
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе все происходящие в
188
ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделить из него только те события, которые оказывают влияние на безопасность.
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем.
Концепции, заложенные в «Оранжевой книге», послужили основой для формирования всех появившихся впоследствии стандартов информационной безопасности.
В1991 году страны Европы разработали стандарт «Критерии безопасности информационных технологий» (Европейские критерии).
В1992 году национальный институт стандартов и технологий США
иАгентство национальной безопасности США разработали стандарт
189
«Федеральные критерии безопасности информационных технологий», призванный заменить «Оранжевую книгу». Данный стандарт разработан на основе результатов исследований в области обеспечения безопасности информационных технологий и опыта использования «Оранжевой книги».
Возрастающая необходимость консолидации различных национальных стандартов привела к тому, что в 1996 году появилась первая версия стандарта «Общие критерии» (Common Criteria for Information Technology Security Evaluation). Данный стандарт унифицировал подходы к информационной безопасности телекоммуникационных систем различных стран. В его разработке принял участие ряд известных национальных организаций США (Агентство национальной безопасности), Канады (Служба безопасности в области передачи данных), Германии (Федеральное агентство в области информационных технологий), Франции (Центральная служба безопасности информационных систем), Великобритании (Группа по безопасности в области электроники и передаче данных). Усилия этих организаций были объединены в рамках Международной организации по стандартизации (ISO).
В 1999 году стандарт «Общие критерии» организацией ISO был утвержден в качестве международного стандарта информационной безопасности ISO/IEC 15408. «Общие критерии» развивают предшествующие стандарты путем введения новых концепций, соответствующих современному уровню развития информационных технологий и требований глобального информационного общества.
"Общие Критерии" являются результатом совместных усилий по объединению существующих национальных стандартов в единый согласованный документ и созданию единого международного стандарта оценивания безопасности информационных технологий. Требования "Общих критериев" охватывают практически все аспекты безопасности
190
информационных технологий и являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника безопасности информационных технологий.
С 1 января 2004 года в Российской Федерации принят стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», состоящий из трех частей и представляющий собой полный аутентичный вариант «Общих критериев». ФСТЭК России проводит сертификацию продуктов в соответствии с этими документами.
В декабре 2000 года под эгидой ИСО и МЭК был принят международный стандарт ISO/IEC 17799:2000 «Кодекс установившейся практики для менеджмента информационной безопасности», являющийся британским стандартом BS 7799-1 от 1999 года.
191