Опубликован: 01.02.2012 | Уровень: для всех | Доступ: платный
Лекция 2:

Концептуальные основы защиты информации. Система документов по технической защите информации

< Лекция 1 || Лекция 2 || Лекция 3 >
Аннотация: В лекции даны основные понятия в области технической защиты информации.

2.1. Концептуальные основы защиты информации

Основу правового обеспечения информационной безопасности России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента РФ, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.

Концепция (от лат. conceptio) - генеральный замысел, определяющий стратегию действий. Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.

Концепция защиты информации предполагает:

  1. Определение понятия, сущности и целей защиты информации.
  2. Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
  3. Дифференциацию защищаемой информации: а) по степеням конфиденциальности, б) по собственникам и владельцам.
  4. Определение состава и классификации носителей защищаемой информации.
  5. Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
  6. Определение методов и средств защиты информации.
  7. Кадровое обеспечение защиты информации.

То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативно–правовых документов.

Стратегия национальной безопасности до 2020 года была утверждена президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".

Документ содержит 6 разделов:

  1. Общие положения
  2. Современный мир и Россия: состояние и тенденции развития
  3. Национальные интересы Российской Федерации и стратегические национальные приоритеты
  4. Обеспечение национальной безопасности
  5. Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии
  6. Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов

В Общих положениях дается перечень основных понятий в области национальной безопасности:

национальная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;

национальные интересы Российской Федерации - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;

угроза национальной безопасности - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;

стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;

система обеспечения национальной безопасности - силы и средства обеспечения национальной безопасности;

силы обеспечения национальной безопасности - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;

средства обеспечения национальной безопасности - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.

"Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации на период до 2020 года и Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года"[2.1]. Важно подчеркнуть, что Документ ориентирован именно на национальную безопасность, то есть на безопасность интересов государства в целом. При этом задача обеспечения национальной безопасности признается комплексной задачей, для решения которой в Стратегии представлены следующие направления деятельности:

  • Повышение качества жизни российских граждан;
  • Экономический рост;
  • Наука, технология и образование;
  • Здравоохранение;
  • Культура;
  • Экология живых систем и рациональное природопользование.

В заключительной части описаны основные характеристики состояния национальной безопасности, а именно:

  1. уровень безработицы (доля от экономически активного населения);
  2. децильный коэффициент (соотношение доходов 10% наиболее и 10% наименее обеспеченного населения);
  3. уровень роста потребительских цен;
  4. уровень государственного внешнего и внутреннего долга в процентном отношении от валового внутреннего продукта;
  5. уровень обеспеченности ресурсами здравоохранения, культуры, образования и науки в процентном отношении от валового внутреннего продукта;
  6. уровень ежегодного обновления вооружения, военной и специальной техники;
  7. уровень обеспеченности военными и инженерно-техническими кадрами.

Для сравнения: в Европе децильный коэффициент находится в диапазоне 6-8, в США – 10-12, в России, по данным Российской академии наук, 14-17. Этот параметр является наиболее значимым при определении состояния национальной безопасности, и одной из основных задач на данный момент является его максимальное уменьшение.

В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально новым документом, основной целью которого является планирование развития системы национальной безопасности, в том числе цели, меры и порядок действий для ее обеспечения. Стратегия стала своего рода ответом на новую международную обстановку и отразила взгляды и планы руководства РФ в отношении внешней политики.

Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:

  • формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
  • подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
  • разработки целевых программ обеспечения информационной безопасности Российской Федерации.

В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:

  • Соблюдение прав и свобод человека в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.;
  • Информационное обеспечение внутренней и внешней государственной политики страны;
  • Развитие информационных технологий в соответствии со временем;
  • Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Дается следующее определение информационной безопасности - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [2.2].

Таким образом, понятие информационной безопасности здесь является более расширенным, чем рассмотренное нами в предыдущей лекции.

В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:

  • угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям, духовному возрождению России. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона.
  • угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России.
  • угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз.
  • угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации. В ходе курса мы подробнее остановимся на данном виде угроз.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

  • Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
  • Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
  • Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.

Важно отметить, что Доктрина не является нормативно-правовым документом, то есть не обязательна к исполнению ни государством, ни его органами власти, ни гражданами, ни организациями. Доктрина разрабатывается для определенного исторического этапа развития и реализовывается в дальнейшем в виде законов, нормативных актов и практических мер, которые будут рассмотрены далее.

2.2. Законодательные и иные правовые акты в области технической защиты информации.

Нормативные правовые акты по технической защите информации – это федеральные законы, указы и распоряжения Президента РФ, Постановления правительства РФ. Нормативно-правовые акты являются основным источником права в Государстве. Юридическая сила нормативно-правовых актов является наиболее существенным признаком их классификации. Она определяет их место и значимость в общей системе государственного нормативного регулирования. Закон – это главный нормативно-правовой акт. К законам в области технической защиты информации можно отнести:

  • Закон Российской Федерации от 05.03.1992 № 2446-1 "О безопасности".
  • Закон Российской Федерации от 22.06.1993 № 5485-1 "О государственной тайне".
  • Федеральный закон №128 от 08.08.2001 "О лицензировании отдельных видов деятельности"
  • Федеральный Закон №184 от 27.12.2002 "О техническом регулировании"
  • Федеральный Закон №149 от 27.07.2006 "Об информации, информационных технологиях и о защите информации"
  • Федеральный закон №152 от 27.07.2006 "О персональных данных"

Указы и распоряжения Президента РФ в области технической защиты информации:

  • "Вопросы федеральной службы по техническому и экспортному контролю" от 16.08.2004
  • "Об утверждении перечня сведений, отнесенных к государственной тайне" от 30.11.1995.
  • "Об утверждении перечня сведений конфиденциального характера" от 06.03.1997
  • "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008.

В структуру нормативно-правовых актов входят также постановления Правительства РФ, приведем основные из них:

  • "Об организации лицензирования отдельных видов деятельности" от 26.01.2006
  • "Об утверждении Положения о сертификации средств защиты информации" от 26.06.1995
  • лицензировании деятельности по технической защите конфиденциальной информации" от 15.08.2006
  • лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" от 31.08.2006

Организационные документы – это уставы, положения, инструкции. Уставы и инструкции издаются на уровне организации и, как правило, не имеют отношения к государственному регулированию. В контексте данной лекции ключевым документом данного типа является положение. Положение – это сводный документ, определяющий порядок образования, структуру, функции, компетенцию, обязанности и организацию работы системы органов государства. Положением может также регламентироваться деятельность должностных лиц. В области технической защиты информации основными положениями являются:

  • Положение о Федеральной службе по техническому и экспортному контролю от 16.08.2004
  • Положение о государственном лицензировании деятельности в области защиты информации от 27.04.1994
  • Положение о лицензировании деятельности по технической защите конфиденциальной информации от 15.08.2006
  • Положение о сертификации средств защиты информации от 26.06.1995
  • Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.

Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов. С актуальным перечнем документов в области технической защиты информации можно ознакомиться на сайте ФСТЭК России.

< Лекция 1 || Лекция 2 || Лекция 3 >
Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов
Константин Устинов
Константин Устинов
Россия
Сергей Егоров
Сергей Егоров
Россия, Москва, Московский энергетический институт (технический университет), 1991