Государственная система правового обеспечения защиты информации в Российской Федерации

Второй функцией организационно-правового обеспечения информационной безопасности является определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране. Основой для создания государственной системы организационно-правового обеспечения защиты информации является создаваемая в настоящее время государственная система защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информационных ресурсов.

Основные положения правового обеспечения защиты информации приведены в Доктрине информационной безопасности РФ, а также в других законодательных актах.

Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

На основе национальных интересов РФ в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Рассмотрим структуру государственной системы информационной безопасности и основные функции ее составных частей.

Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ
от 15.09.1993 г. №912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей Государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по следующим вопросам в области обеспечения информационной безопасности:

1) обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;

2) противодействию иностранным техническим разведкам на территории РФ;

3) обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращению ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

4) защите информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.

Основными задачами в области обеспечения информационной безопасности для ФСТЭК России являются:

1 реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

2 осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

3 организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;

4 осуществление самостоятельного нормативно-правового регулирования вопросов: обеспечения безопасности информации в ключевых системах информационной инфраструктуры; противодействия техническим разведкам; технической защиты информации; размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ; координации деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;

5 обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;

6 прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;

7 противодействие добыванию информации техническими средствами разведки, техническая защита информации;

8 осуществление координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ и организаций по государственному регулированию размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ;

9 осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;

10 осуществление центральным аппаратом ФСТЭК России организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны.

ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами президента РФ и правительства РФ, международными договорами РФ, приказами и директивами министра обороны РФ в части, касающейся ФСТЭК России, настоящим положением о ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.

ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.

Обеспечение информационной безопасности является одним из основных направлений деятельности органов Федеральной службы безопасности.

Обеспечение информационной безопасности осуществляется ими в пределах своих полномочий:

- при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

- при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и ее учреждениях, находящихся за пределами РФ.

 

Органы государственного управления (министерства, ведомства) в пределах своей компетенции:

- определяют перечень охраняемых сведений;

- обеспечивают разработку и осуществление технически и экономически обоснованных мер по защите информации на подведомственных предприятиях;

- организуют и координируют проведение НИОКР в области защиты информации в соответствии с государственными (отраслевыми) программами;

- разрабатывают отраслевые документы по защите информации;

- контролируют выполнение на предприятиях отрасли установленных норм и требований по защите информации;

- создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

- организуют подготовку и повышение квалификации специалистов по защите информации.

Для осуществления указанных функций в составе органов государственного управления функционируют научно-технические подразделения (центры) защиты информации и контроля.

На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.

Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.

Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:

- защита персональных данных;

- борьба с компьютерной преступностью, в первую очередь в финансовой сфере;

- защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;

- защита государственных секретов;

- создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;

- обеспечение безопасности АСУ потенциально опасных производств;

- страхование информации и информационных систем;

- сертификация и лицензирование в области безопасности, контроль безопасности информационных систем;

- организация взаимодействия в сфере защиты данных со странами-членами СНГ и другими государствами.

Анализ современного состояния информационной безопасности в России показывает, что уровень ее в настоящее время не соответствует жизненно важным потребностям личности, общества и государства.

Такое положение дел в области обеспечения информационной безопасности требует безотлагательного решения ряда ключевых проблем.

1. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработка реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.

2. Разработка механизмов реализации прав граждан на информацию.

3. Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области.

4. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

5. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности.

6. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.

7. Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.

Разработка правового обеспечения защиты информации идет по трем направлениям.

1. Защита прав личности на частную жизнь.

2. Защита государственных интересов.

3. Защита предпринимательской и финансовой деятельности.

Структура нормативной базы по вопросам информационной безопасности включает:

- Конституцию РФ;

- федеральные законы и законы РФ;

- кодексы РФ (уголовный, гражданский, об административных правонарушениях);

- постановления правительства РФ;

- ведомственные нормативные акты, ГОСТы, руководящие документы.

 

Среди федеральных законов отметим следующие:

- "О государственной тайне";

- "О безопасности";

- "О лицензировании отдельных видов деятельности";

- "Об информации, информатизации и защите информации";

- "О правовой охране программ для электронных вычислительных машин и баз данных";

- "О техническом регулировании";

- "Об участии в международном информационном обмене";

- "О связи";

- "Об органах Федеральной службы безопасности в РФ";

- "О коммерческой тайне";

- "Об электронной цифровой подписи".


Тема 2: Угрозы информации

 

Угроза информации - возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию.

1. Виды угроз. Основные нарушения.

1.1. Физической целостности (уничтожение, разрушение элементов).

1.2. Логической целостности (разрушение логических связей).

1.3. Содержания (изменение блоков информации, внешнее навязывание ложной информации).

1.4. Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации).

1.5. Прав собственности на информацию (несанкционированное копирование, использование).

2. Характер происхождения угроз.

2.1. Умышленные факторы:

2.1.1. Хищение носителей информации.

2.1.2. Подключение к каналам связи.

2.1.3. Перехват электромагнитных излучений (ЭМИ).

2.1.4. Несанкционированный доступ.

2.1.5. Разглашение информации.

2.1.6. Копирование данных.

2.2. Естественные факторы:

2.2.1. Несчастные случаи (пожары, аварии, взрывы).

2.2.2. Стихийные бедствия (ураганы, наводнения, землетрясения).

2.2.3. Ошибки в процессе обработки информации (ошибки пользователя, оператора, сбои аппаратуры).

Три наиболее выраженные угрозы:

- подверженность физическому искажению или уничтожению;

- возможность несанкционированной (случайной или злоумышленной) модификации;

- опасность несанкционированного (случайного и преднамеренного) получения информации лицами, для которых она не предназначена.

Источники угроз (понимается непосредственный исполнитель угрозы в плане ее негативного воздействия на информацию):

- люди;

- технические устройства;

- модели, алгоритмы, программы;

- технологические схемы обработки;

- внешняя среда. Предпосылки появления угроз:

- объективные (количественная или качественная недостаточность элементов системы) - причины, не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;

- субъективные - причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.

Несанкционированный доступ - получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой и хранимой на объекте информации.

Разглашение информации ее обладателем есть умышленное или неосторожное действие должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по работе, приведшие к не вызванному служебной необходимостью оглашению охраняемых сведений, в также передача таких сведений по открытым техническим каналам или обработка на некатегорированных ЭВМ.

Утечку информации в общем плане можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.

Система защиты информации - совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носителями в виде сигналов, образов, символов, технических решений и процессов.

Система защиты информации является составной частью комплексной системы безопасности.