Нормативно – правовое обеспечение информационной безопасности
Конспект лекции № 8
Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.
Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политики страны, то логично было бы проводить их по единым принципам, выделяя как общие положения и принадлежности для информационной политики.
В Доктрине информационной безопасности Российской Федерации раскрыто содержание следующих принципов, закрепленных в Федеральном законе «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ:
законность (соблюдение Конституции РФ, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности);
соблюдение баланса жизненно важных интересов личности общества и государства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации);
недопустимость ограничения прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека);
взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности;
приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления.
Государственная информационная политика (ГИП) должна опираться на следующие базовые принципы:
открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение);
равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности);
системность (реализация процессов обеспечения ИБ через государственную систему);
приоритет отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);
социальная ориентация (основные мероприятия ГИП должны быть направлены на обеспечение социальных интересов граждан России);
государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы финансируются преимущественно государством);
приоритет права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);
сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления;
интеграция с международными системами обеспечения ИБ.
К основным задачам в сфере обеспечения ИБ РФ относятся:
формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность;
совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;
определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ;
координация деятельности органов государственной власти по обеспечению ИБ;
создание условий для успешного развития негосударственной компонента в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;
совершенствование и защита отечественной информационно инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учета вхождения России в глобальную информационную инфраструктуру
развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;
развитие отечественной индустрии телекоммуникационных информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на при приятиях оборонного комплекса;
духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;
пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных и исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов СНГ;
создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;
противодействие угрозе развязывания противоборства в информационной сфере;
организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.
Для реализации указанных задач государственной системой обеспечения информационной безопасности должны осуществляться следующие функции:
оценка состояния ИБ в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях;
выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации;
определение основных направлений предотвращения угроз или минимизации ущерба от их реализации;
организация исследований в сфере обеспечения ИБ;
разработка и принятие законов и иных нормативно-правовых актов;
разработка федеральных целевых и ведомственных программ обеспечения ИБ, координация работ по их реализации;
организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере;
страхование информационных рисков;
подготовка специалистов по обеспечению ИБ, в том числе из числа работников правоохранительных и судебных органов;
информирование общественности о реальной ситуации в сфере обеспечения ИБ и работе государственных органов в этой сфере;
изучение практики обеспечения ИБ, обобщение и пропаганда передового опыта такой работы в регионах;
правовая защита прав и интересов граждан, интересов общества и государства в сфере ИБ;
организация обучения способам и методам самозащиты физических лиц от основных угроз в информационной сфере;
содействие разработке и принятию норм международного права в сфере обеспечения ИБ;
установление стандартов и нормативов в сфере обеспечения ИБ.
От эффективности выполнения последней функции напрямую зависят сроки и возможности организации системы обеспечения ИБ РФ, поэтому рассмотрим ее содержание подробнее. В Российской Федерации действуют девять государственных стандартов по защите информации: ГОСТ 28147 — 89, ГОСТ Р 34.10 — 94, ГОСТР 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922 — 96. Они относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации:
системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 государственных стандартов;
информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное i тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) — около 200 государственных стандартов;
системы качества (в том числе стандарты серии 9000, введенные в действие на территории Российской Федерации) — больше 100 государственных стандартов.
Одним из отечественных аналогов перечисленных стандартов является руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем I и требований по защите информации».
Комплексный характер защиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:
ГОСТ 28147 — 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
ГОСТ Р 34.10 — 94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
ГОСТ Р 34.11 — 94 «Информационная технология. Криптографическая защита информации. Функция кэширования»;
ГОСТ Р 50739 — 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
В вопросе о криптографии необходимо установить, кто и как должен защитить информацию. В России ФАПСИ претендует на защиту всей, в том числе открытой, информации. Объективно государственные организации могут ограничиться защитой только своей информации (прежде всего, государственной и служебной тайн), и будет хорошо, если им хватит на это средств и сил. Все остальные требования по защите информации надо подчинить единым понятным правилам и исполнимым запретам. Это должны быть законы, следуя которым субъект сможет защищать свою информацию сам доступными ему средствами. Введение единообразного подхода к использованию средств криптозащиты оставляет монополисту явную возможность для использования дубликатов ключей и не гарантирует, что это будет сделано в интересах государства, а не конкретных лиц. Хотя в ряде стран (например, Великобритания, Франция) существует государственная