II. Методы и средства защиты информации в компьютерных системах

Глава 3

Правовые и организационные методы защиты

информации в КС

3.1. Правовое регулирование в области безопасности информации

Комплексная система защиты информации создается на объ­ектах для блокирования (парирования) всех возможных или, по крайней мере, наиболее вероятных угроз безопасности информа­ции. Для парирования той или иной угрозы используется опреде­ленная совокупность методов и средств защиты. Некоторые из них защищают информацию от нескольких угроз одновременно. Среди методов защиты имеются и универсальные методы, кото­рые являются базовыми при построении любой системы защиты. Это, прежде всего, правовые методы защиты информации, кото­рые служат основой легитимного построения и использования системы защиты любого назначения. Организационные методы защиты информации, как правило, используются для парирования нескольких угроз. Кроме того, организационные методы исполь­зуются в любой системе защиты без исключений.

Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:

1. выработать государственную политику безопасности в об­ ласти информационных технологий;

1. законодательно определить правовой статус компьютер-

29

ных систем, информации, систем защиты информации, владель­цев и пользователей информации и т. д.;

3) создать иерархическую структуру государственных орга­ нов, вырабатывающих и проводящих в жизнь политику безопас­ ности информационных технологий;

4. создать систему стандартизации, лицензирования и серти­ фикации в области защиты информации;

5. обеспечить приоритетное развитие отечественных защи­ щенных информационных технологий;

6. повышать уровень образования граждан в области инфор­ мационных технологий, воспитывать у них патриотизм и бди­ тельность;

7. установить ответственность граждан за нарушения зако­ нодательства в области информационных технологий.

3.1.1. Политика государства рф в области безопасности информационных технологий

В государстве должна проводиться единая политика в области безопасности информационных технологий. В Российской Феде­рации вопросы информационной безопасности нашли отражение в «Концепции национальной безопасности Российской Федера­ции», утвержденной Указом Президента РФ № 1300 от 17 декабря 1997 года. В этом документе отмечается, что «в современных ус­ловиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности РФ в информационной сфере». В «Концепции на­циональной безопасности Российской Федерации» определены важнейшие задачи государства в области информационной безо­пасности:

установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

совершенствование информационной структуры, ускоре­ние развития новых информационных технологий и их широкое внедрение, унификация средств поиска, сбора, хранения и анализа информации с учетом вхождения России в глобальную информа­ционную инфраструктуру;

30

разработка соответствующей нормативной правовой базы и координация деятельности органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности;

развитие отечественной индустрии телекоммуникацион­ных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

защита государственного информационного ресурса и, прежде всего, в федеральных органах государственной власти и на предприятиях оборонного комплекса.

Усилия государства должны быть направлены на воспитание ответственности граждан за неукоснительное выполнение право­вых норм в области информационной безопасности. Необходимо использовать все доступные средства для формирования у граж­дан патриотизма, чувства гордости за принадлежность к стране, коллективу. Важной задачей государства является также повыше­ние уровня образования граждан в области информационных тех­нологий. Большая роль в этой работе принадлежит образователь­ной системе государства, государственным органам управления, средствам массовой информации. Это важное направление реали­зации политики информационной безопасности.

3.1.2. Законодательная база информатизации общества

Высокие темпы информатизации, а также социально-экономические изменения в обществе, происшедшие в последние годы, требовали законодательного регулирования отношений, складывающихся в области информационных технологий. Эта проблема во многом была решена принятием Государственной Думой РФ 25 января 1995 года Федерального закона «Об инфор­мации, информатизации и защите информации». В законе даны определения основных терминов: информация; информатизация; информационные системы; информационные ресурсы; конфиден­циальная информация; собственник и владелец информационных ресурсов; пользователь информации. Государство гарантирует права владельца информации, независимо от форм собственности, распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресур-

31

сы, устанавливать режим доступа к ним. В законе определены права и обязанности граждан и государства по доступу к инфор­мации. В нем установлен общий порядок разработки и сертифи­кации информационных систем, технологий, средств их обеспе­чения, а также порядок лицензирования деятельности в сфере ин­формационных технологий. В этом законе определены цели и режимы защиты информации, а также порядок защиты прав субъ­ектов в сфере информационных процессов и информатизации.

Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является закон РФ «О госу­дарственной тайне». Он принят Постановлением Верховного Со­вета РФ от 21.07.1993 г. Закон определяет уровни секретности го­сударственной информации (грифы секретности) и соответст­вующую степень важности информации. Руководствуясь данным законом и «Перечнем сведений, отнесенных к государственной тайне», введенным в действие Указом Президента РФ от 30 нояб­ря 1995 года, соответствующие государственные служащие уста­навливают гриф секретности информации.

Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации от 23.09.1992 г. «О правовой охране программ для электронных вычислительных машин и баз данных» и Законом Российской Федерации от 09.07.1993 г. «Об авторском праве и смежных правах».

На основании приведенных правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, ин­струкции и др.), регламентирующие порядок использования и за­щиты информации в подведомственных организациях.

Очень важным правовым вопросом является установление юридического статуса КС и особенно статуса информации, полу­чаемой с применением КС. Статус информации или ее правомоч­ность служит основанием для выполнения (невыполнения) опре­деленных действий. Например, в одних АСУ соответствующее должностное лицо имеет юридическое право принимать решения только на основании информации, полученной из АСУ. В других АСУ для принятия решения необходимо получить подтверждаю­щую информацию по другим каналам. В одной и той же АСУ ре­шение может приниматься как с получением подтверждающей

32

информации, так и без нее. Примером может служить организация перевода денег с помощью АСУ. До определенной суммы перевод осуществляется автоматически при поступлении соответствую­щей заявки. Для перевода крупной суммы выполняются дополни­тельные процедуры проверки правомочности такой операции. Для этого может быть затребована дополнительная информация, в том числе и по дублирующей системе, а окончательное решение о пе­реводе денег может принимать должностное лицо.

Правовой статус информации устанавливается с учетом ее стоимости (важности) и степени достоверности, которую способ­на обеспечить компьютерная система.

Важной составляющей правового регулирования в области информационных технологий является установление ответствен­ности граждан за противоправные действия при работе с КС. Пре­ступления, совершенные с использованием КС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В нашей стране 1 января 1997 года введен в действие новый Уголовный кодекс РФ. В него впервые включена глава № 28, в которой определена уголовная ответст­венность за преступления в области компьютерных технологий.

В статье 272 предусмотрены наказания за неправомерный дос­туп к компьютерной информации. За данное деяние предусмот­рены наказания, лежащие в диапазоне от денежного штрафа в размере 200 минимальных зарплат до лишения свободы на срок до 5 лет. Отягощающими вину обстоятельствами являются со­вершение преступления группой лиц по предварительному сгово­ру или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

Статья 273 устанавливает ответственность за создание, ис­пользование и распространение вредоносных (вредительских) программ для ЭВМ. По этой статье предусмотрено наказание от штрафа в размере заработной платы или иного дохода осужденно­го за два месяца до лишения свободы на срок до семи лет (в зави­симости от последствий).

В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение пра­вил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ

2 В. И. Завгоролний 33

или их сети, если это деяние причинило существенный вред, нака­зывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными работами на срок от ста восьмидесяти до двухсот часов. Если те же деяния повлекли тяжкие последствия, то преду­смотрено лишение свободы на срок до 4 лет.

3.1.3. Структура государственных органов, обеспечивающих безопасность информационных технологий

Выработку политики информационной безопасности, подго­товку законодательных актов и нормативных документов, кон­троль над выполнением установленных норм обеспечения безо­пасности информации осуществляют государственные органы, структура которых приведена на рис.2.

Возглавляет государственные органы обеспечения информа­ционной безопасности Президент РФ. Он руководит Советом Безопасности и утверждает указы, касающиеся обеспечения безо­пасности информации в государстве.

Общее руководство системой информационной безопасности, наряду с другими вопросами государственной безопасности стра­ны, осуществляют Президент и Правительство Российской Феде­рации.

Органом исполнительной власти, непосредственно занимаю­щимся вопросами государственной безопасности, является Совет Безопасности при Президенте РФ. В состав Совета Безопасности входит Межведомственная комиссия по информационной безо­пасности. Комиссия готовит указы Президента, выступает с зако­нодательной инициативой, координирует деятельность руководи­телей министерств и ведомств в области информационной безо­пасности государства.

Рабочим органом Межведомственной комиссии по информа­ционной безопасности является Государственная техническая ко­миссия при Президенте РФ. Эта комиссия осуществляет подго­товку проектов законов, разрабатывает нормативные документы (Решения Государственной технической комиссии), организует сертификацию средств защиты информации (за исключением криптографических средств), лицензирование деятельности в об-

34

ласти производства средств защиты и обучения специалистов по защите информации [33,34]. Гостехкомиссия руководит аттеста­цией КС, предназначенных для обработки информации, представ­ляющей государственную тайну, или управляющих экологически опасными объектами [35]. Она координирует и направляет дея­тельность государственных научно-исследовательских учрежде­ний, работающих в области защиты информации, обеспечивает аккредитацию органов лицензирования и испытательных центров (лабораторий) по сертификации. Эта комиссия обеспечивает так­же работу Межведомственной комиссии по защите государствен­ной тайны.

Рис. 2. Структура государственных органов, обеспечивающих про­ведение политики информационной безопасности в РФ

35

На Межведомственную комиссию по защите государственной тайны возложена задача руководства лицензированием предпри­ятий, учреждений и организаций, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации, а также оказанием услуг по защите гостайны. Кроме того, эта комиссия осуществляет координацию работы по организации сертификации средств защиты информа­ции.

Федеральное агентство правительственной связи и информа­ции при Президенте Российской Федерации (ФАПСИ) обеспечи­вает правительственную связь и информационные технологии го­сударственного управления. Агентство осуществляет сертифика­цию всех средств, используемых для организации правительст­венной связи и информатизации государственного управления, а также лицензирует все предприятия, учреждения и организации, занимающиеся производством таких средств. Кроме того, в ис­ключительном ведении ФАПСИ находятся вопросы сертифика­ции и лицензирования в области криптографической защиты ин­формации.

В министерствах и ведомствах создаются иерархические структуры обеспечения безопасности информации, которые, как правило, совпадают с организационной структурой министерства (ведомства). Называться они могут по-разному, но функции вы­полняют сходные.