Организационно-правовые аспекты защиты информации

Более подробные сведения об информации, составляющей коммерческую тайну, изложены в Федеральном законе "О коммерческой тайне".Данный Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации и других участников регулируемых отношений на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

Вопросы защиты персональных данных подробно описаны в Федеральном законе "О персональных данных".В соответствии с этим документом при обработке персональных данных необходимо принимать организационные и технические меры, в том числе криптографические средства для защиты информации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Далее этот закон будет рассмотрен более подробно ввиду его большой актуальности (информационные системы должны быть приведены в соответствие с требованиями Федерального закона уже к 01.01.2010).

Вопросы отнесения информации к государственной тайне, а также порядок работы и защиты таких данных определены в Федеральном законе "О государственной тайне".Статьи закона являются обязательными для исполнения для всех без исключения юридических и физических лиц, для государственных и территориальных органов власти. Закон определяет понятия государственной тайны, грифа секретности, средства защиты информации и др. Этот же закон устанавливает права и обязанности органов государственной власти по защите государственной тайны, а также определяет базовый перечень сведений, которые могут быть отнесены к государственной тайне. Более подробный перечень утвержден Указом Президента "О перечне сведений, отнесенных к государственной тайне" №61 от 28.03.1998 г. Данные нормативные документы должны учитываться при формировании системы защиты информации, составляющей государственную тайну.

Федеральный закон № 184-ФЗ "О техническом регулировании" регулирует отношения, возникающие при разработке, принятии, применении и исполнении требований к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации продукции, в том числе средств обнаружения атак. На основе данного закона в ближайшее время будет разработан технический регламент, который будет определять требования к информационной безопасности.

Нормативно-методическую базу, определяющую требования и рекомендации к программно-техническим методам защиты информации в автоматизированных системах, составляют руководящие документы Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК) и государственные стандарты. Так, например, оценка защищенности автоматизированных систем, обрабатывающих информацию ограниченного доступа, осуществляется на основании руководящего документа (РД) ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".При разработке и модернизации средств вычислительной техники необходимо принимать во внимание требования РД ФСТЭК "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".Данные нормативные документы необходимо учитывать в процессе реализации комплексной системы защиты от информационных атак для того, чтобы не нарушить установленные в них требования к автоматизированным системам и средствам вычислительной техники соответствующих классов.

Еще одним нормативным документом ФСТЭК, который может применяться по отношению к средствам защиты от информационных атак, является РД "Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)".Данный РД устанавливает классификацию ПО средств защиты информации по уровню контроля отсутствия в нем НДВ. Необходимо отметить, что под НДВ понимают функциональные возможности ПО, не описанные в документации, при использовании которых возможно нарушение конфиденциальности, целостности или доступности обрабатываемой информации.

При использовании персональных и корпоративных межсетевых экранов для защиты от информационных атак необходимо учитывать требования РД ФСТЭК "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации",а также "требования ФСБ к устройствам типа межсетевые экраны".Данные нормативные документы классифицируют межсетевые экраны на пять различных классов в зависимости от категории информации, для защиты которой они предназначены. При этом каждый класс экранов характеризуется своим набором функциональных требований по защите информации.

Порядок организации работ с государственной конфиденциальной информацией определяется в нормативно-методическом документе ФСТЭК "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)".Документ расширяет и дополняет существующие РД посредством уточнения требований и рекомендаций по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. В этом документе приводятся рекомендации по практическому применению различных средств защиты, в том числе и систем обнаружения атак.

РД ФСТЭК "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" и ГОСТ Р ИСО/МЭК 15408-02 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" определяют критерии, которые должны использоваться в качестве основы для оценки функций безопасности продуктов и автоматизированных систем. Процедура оценки осуществляется на основе требований профилей защиты и заданий по безопасности, которые разрабатываются на основе ГОСТ Р ИСО/МЭК 15408-02. В настоящее время ФСТЭК разработаны профили защиты для межсетевых экранов, удостоверяющих центров, средств построения виртуальных частных сетей и средств защиты от несанкционированного доступа. Полная версия стандарта доступна на Интернет-сайте ФСТЭК⁶⁷.

Обеспечение информационной безопасности при подключении к глобальным сетям общего пользования регламентируется решением ФСТЭК "О защите информации при вхождении России в международную информационную систему "Интернет"" от 21 октября 1997 г. №61 и указом Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" от 12 мая 2004 г. № 611. Согласно этим документам субъектам международного информационного обмена в Российской Федерации запрещается подключение к сети Интернет автоматизированных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается конфиденциальная информация, а также данные, содержащие сведения, составляющие государственную тайну. При этом владельцам открытых и общедоступных государственных информационных ресурсов разрешается осуществлять их включение в состав сетей связи общего пользования только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность. К таким сертифицированным средствам относятся, в том числе и системы обнаружения атак.

В России также было принято несколько государственных стандартов (ГОСТ), включающих термины и определения к ним, а также общие положения в области информационной безопасности. К таким стандартам относятся ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" и ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".