Концепция информационной безопасности

 

 

Концепция информационной безопасности Республики Казахстан (далее - Концепция) разработана на основании Конституции Республики Казахстан и законов Республики Казахстан от 26 июня 1998 года "О национальной безопасности Республики Казахстан", от 15 марта 1999 года "О государственных секретах", от 13 июля 1999 года "О борьбе с терроризмом", от 7 января 2003 года "Об электронном документе и электронной цифровой подписи", от 8 мая 2003 года "Об информатизации" и от 18 февраля 2005 года "О противодействии экстремизму", Концепции развития конкурентоспособности информационного пространства Республики Казахстан на 2006-2009 годы, одобренной Указом Президента Республики Казахстан от 18 августа 2006 года N 163 Также при разработке Концепции учтены международный опыт в области информационной безопасности и положения Концепции информационной безопасности государств-участников Содружества Независимых Государств в военной сфере от 4 июня 1999 года. Концепция служит основой при формировании и реализации единой государственной политики Республики Казахстан в области обеспечения информационной безопасности, ее положения будут учитываться при создании и развитии единого информационного пространства Казахстана и дальнейшем совершенствовании государственной политики в области информатизации. Государственная политика в области обеспечения информационной безопасности Республики Казахстан (далее - государственная политика) является открытой и предусматривает информированность общества о деятельности государственных органов и общественных институтов в области информационной безопасности с учетом ограничений, предусмотренных действующими законодательными актами Республики Казахстан. Она основывается на обеспечении прав физических и юридических лиц на свободное создание, поиск, получение и распространение информации любым законным способом. Государство исходит из того, что информационные ресурсы являются объектом собственности, и способствует введению их в хозяйственный оборот при соблюдении законных интересов собственников, владельцев и распорядителей информационных ресурсов. Государство считает приоритетным развитие современных информационных и телекоммуникационных технологий и технических средств, способных обеспечить создание национальных телекоммуникационных сетей и международный информационный обмен. Государственная политика не допускает монополизма государственных органов и организаций в области обеспечения информационной безопасности, за исключением сферы защиты государственных секретов.

Информационная безопасность государства[1] — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие[2]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. «Концепция обеспечения безопасности информации в автоматизированной системе организации» (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС.

Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка подлежащей защите информации, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС.

Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности информации в АС;

принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса
согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности АС.

Правовой основой Концепции должны являться Конституция Российской Федерации. Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и других нормативных документов, регламентирующих вопросы защиты информации в АС.

При разработке Концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения Концепция должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.

Положения Концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в АС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по техническим каналам и защита информации в автоматизированных системах от несанкционированного доступа.

В Концепции информационной безопасности должны быть отражены следующие вопросы:

• характеристика АС организации, как объекта информационной безопасности (объекта защиты):

• назначение, цели создания и эксплуатации АС организации

• структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами

• категории информационных ресурсов, подлежащих защите

• категории пользователей ас организации, режимы использования и уровни доступа к информации

• интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений;

• уязвимость основных компонентов АС организации

• цели и задачи обеспечения информационной безопасности организации и основные пути их достижения (решения задач системы защиты)

• перечень основных опасных воздействующих факторов и значимых угроз информационной безопасности:

• внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники

• пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации

• умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

• утечка информации по техническим каналам

• неформальная модель возможных нарушителей

• подход к оценке риска в АС организации;

• основные положения технической политики в области обеспечения безопасности информации АС организации

• принципы обеспечения информационной безопасности организации;

• основные меры и методы (способы) защиты от угроз, средства обеспечения требуемого уровня защищенности ресурсов АС:

• организационные (административные) меры защиты

• структура, функции и полномочия подразделения обеспечения информационной безопасности;

• физические средства защиты

• технические (программно-аппаратные) средства защиты

• управление системой обеспечения безопасности информации

• контроль эффективности системы защиты

• первоочередные мероприятия по обеспечению безопасности информации АС организации

• перечень нормативных документов, регламентирующих деятельность в области защиты информации

• основные термины и определения