- •Введение
- •Глава 1. Информация как объект правовой защиты
- •1.1. Необходимость защиты информации
- •1.2. Основные термины и определения
- •1.3. Структура информационных ресурсов
- •1.4. Модель информационной безопасности.
- •1.5. Правовая модель отношений субъектов информационного обмена
- •1.6. Особенность отношений субъектов информационного обмена в сети Интернет
- •1.7. Структура нормативных правовых актов в области информационной безопасности.
- •1.8. Судебная практика в области компьютерных преступлений
- •Контрольные вопросы к главе 1
- •Глава 2. Государственная система обеспечения информационной безопасности Российской Федерации
- •2.1 Организационная структура государственной системы обеспечения информационной безопасности
- •2.2. Совет Безопасности Российской Федерации
- •2.3. Комиссия Совета Федерации по информационной политике
- •2.4. Федеральные органы исполнительной власти в области информатизации
- •2.6. Правительственная Комиссия по федеральной связи
- •2.7. Федеральная служба безопасности Российской Федерации
- •2.8. Федеральная служба по техническому и экспортному контролю
- •2.9. Федеральная служба охраны Российской Федерации
- •2.10. Служба внешней разведки Российской Федерации
- •2.11. Федеральное агентство по информационным технологиям
- •2.12. Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия
- •2.13. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам
- •2.15. Обеспечение информационной безопасности на уровне субъектов Российской Федерации
- •Контрольные вопросы к главе 2
- •Глава 3. Нормативно-правовое обеспечение информационной безопасности
- •3.1. Международные стандарты в области информационной безопасности
- •3.2. Основные нормативно-правовые документы Российской Федерации в области защиты информации
- •Международные документы
- •Концептуальные документы Российской Федерации
- •Федеральные законы Российской Федерации
- •Указы Президента Российской Федерации
- •Постановления Правительства Российской Федерации
- •Постановления Федеральных органов
- •Государственные стандарты
- •Руководящие документы Гостехкомиссии
- •3.3. Конституция Российской Федерации
- •3.4. Концепция национальной безопасности Российской Федерации
- •3.5. Доктрина информационной безопасности Российской Федерации
- •3.6. Концепция использования информационных технологий в деятельности федеральных органов исполнительной власти
- •3.7. Концепция региональной информатизации
- •3.8. Концепция создания системы персонального учета населения Российской Федерации
- •3.9. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •3.10. Концепция формирования информационного общества в России
- •3.11. Стратегия развития информационного общества в России
- •3.12. Закон «Об информации, информационных технологиях и о защите информации»
- •3.13. Кодекс Российской Федерации об административных правонарушениях
- •3.14. Уголовный кодекс Российской Федерации
- •3.15. Гражданский Кодекс Российской Федерации
- •3.16. Налоговый кодекс Российской Федерации
- •3.17. Таможенный Кодекс Российской Федерации
- •3.18. Трудовой Кодекс Российской Федерации
- •3.19. Федеральный Закон «О государственной тайне»
- •3.20. Федеральный Закон «О коммерческой тайне»
- •3.21. Федеральный Закон «О техническом регулировании»
- •3.22. Федеральный Закон «Об электронной цифровой подписи»
- •3.23. Федеральный Закон «О персональных данных»
- •3.24. Федеральный Закон «О связи»
- •3.25. Федеральный Закон «О государственной автоматизированной системе Российской Федерации «Выборы»
- •3.26. Федеральный Закон «О рекламе»
- •3.27. Федеральный Закон «О средствах массовой информации»
- •3.28. Федеральный Закон «О безопасности»
- •3.29. Федеральный Закон «О лицензировании отдельных видов деятельности»
- •3.30. Федеральный Закон «О транспортной безопасности»
- •3.32. Федеральный Закон «Об архивном деле в Российской Федерации»
- •Контрольные вопросы к главе 3
- •Заключение.
- •Литература
- •Интернет-ресурсы:
порядок доступа к подсистемам электронного правительства региона.
Подсистема обеспечения информационной безопасности электронного правительства региона должна включать функции осуществления доступа к подсистемам, регистрации и учета действий пользователей при работе с системой, мониторинга нарушений в области информационной безопасности, обеспечения антивирусной защиты, а также обеспечения защиты информации при ее передаче и обработке с использованием сертифицированных средств.
3.8. Концепция создания системы персонального учета населения Российской Федерации
Распоряжением Правительства Российской Федерации от 9 июня 2005 года № 748-р одобрена «Концепция создания системы персонального учета населения Российской Федерации».
Концепция разработана Министерством экономического развития и торговли Российской Федерации совместно с Министерством информационных технологий и связи Российской Федерации и другими заинтересованными федеральными органами исполнительной власти с участием Центральной избирательной комиссии Российской Федерации.
Система персонального учета представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан.
246
Взаимодействие автоматизированных систем учета осуществляется на основе единых форматов обмена данными с учетом требований по обеспечению информационной безопасности.
Система позволит обеспечить единый порядок сбора и использования персональных данных, а также создать систему персонального учета на основе интеграции автоматизированных систем учета в рамках единого информационного пространства.
Создание системы персонального учета осуществляется в соответствии со следующими основными принципами:
доступ к персональным данным и работа с ними на основании существующих и разрабатываемых регламентов, утверждаемых в соответствии с федеральными законами;
организация взаимодействия и информационного обмена автоматизированных систем учета между собой в рамках системы персонального учета на основе общих методических и технологических принципов и стандартов;
защита персональных данных в соответствии с законодательством Российской Федерации и требованиями по обеспечению информационной безопасности;
В целях создания нормативной правовой базы для развития и функционирования системы персонального учета необходимо регламентировать отношения, связанные с:
функционированием и статусом баз персональных данных; формированием и законодательным закреплением перечня
персональных данных, необходимых для однозначного установления их соответствия конкретному физическому лицу;
введением идентификатора персональных данных; определением полномочий пользователей системы персонального
учета;
247
защитой персональных данных; взаимодействием государственных органов и населения в части
сбора и передачи персональных данных.
Cоздание системы персонального учета предполагается осуществить
втри этапа. Ориентировочный срок создания системы - 7 лет.
3.9.Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года.
Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники (СВТ) и автоматизированных систем (АС), которые используются для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:
выработка требований по защите СВТ и АС от НСД к информации; создание защищенных от НСД к информации СВТ и АС; сертификация защищенных СВТ и АС.
248
В соответствии с Концепцией основными принципами защиты от НСД являются:
1.Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.
2.Защита СВТ обеспечивается комплексом программно-технических
средств.
3.Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
4.Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
5.Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
6.Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
7.Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.
Концепция определяет четырехуровневую модель нарушителя в АС как субъекта, имеющего доступ к работе со штатными средствами АС:
1.Самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
249
2.Определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
3.Определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
4.Определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
Классификация основных способов НСД представлена следующим образом:
непосредственное обращение к объектам доступа; создание программных и технических средств, выполняющих
обращение к объектам доступа в обход средств защиты; модификация средств защиты, позволяющая осуществить НСД;
внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
Обеспечение защиты СВТ и АС осуществляется системой разграничения доступа субъектов к объектам доступа путем реализации правил разграничения доступа (ПРД) субъектов и их процессов к данным и техническим средствам. Система разграничения доступа должна выполнять следующие функции:
идентификацию и аутентификацию субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
регистрацию действий субъекта и его процесса; предоставление возможностей исключения и включения новых
субъектов и объектов доступа, а также изменение полномочий субъектов;
250
реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
тестирование; очистку оперативной памяти и рабочих областей на магнитных
носителях после завершения работы пользователя с защищаемыми данными;
учет выходных печатных и графических форм и твердых копий; контроль целостности программной и информационной части
системы.
Основными характеристиками технических средств защиты являются:
степень полноты и качество охвата правил разграничения доступа реализованной системе разграничения доступа (СРД);
состав и качество обеспечивающих средств для СРД; гарантии правильности функционирования СРД и обеспечивающих
ее средств.
Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком. Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты (КСЗ). Организационные мероприятия для АС реализуются заказчиком. Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.). По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и
251