Главная Коллекция "Revolution" Государство и право Правовые основы обеспечения информационной безопасности в Российской Федерации

Правовые основы обеспечения информационной безопасности в Российской Федерации

Анализ нормативных правовых актов, регулирующих основы информационной безопасности России. Исследование понятийного аппарата в сфере права с целью его уточнения и согласования. Выявление недостатков правового регулирования действующего законодательства.

Рубрика Государство и право
Вид дипломная работа
Язык русский
Дата добавления 26.12.2013
Размер файла 109,7 K
рефераты на заказ со скидкой

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

По оценкам Службы внешней разведки Российской Федерации, приведенным на парламентских слушаниях по теме «Угрозы и вызовы в сфере информационной безопасности», состоявшихся в Государственной Думе в июле 1996 г., ИО применяется как в военной, так и экономической, банковской, социальной и иных областях в целях:

-- дезорганизации деятельности - управленческих структур, транспортных потоков и средств коммуникации;

-- блокирования деятельности отдельных предприятий и банков, а также базовых отраслей промышленности путем нарушения многозвенных технологических связей и системы взаиморасчетов, проведения валютно-финансовых махинаций и т. п.;

-- инициирования крупных техногенных катастроф на территории противника путем нарушения штатного управления технологическими процессами и объектами, имеющими дело с большими количествами опасных веществ и высокими концентрациями энергии;

-- массового распространения и внедрения в сознание людей определенных представлений, привычек и поведенческих стереотипов;

-- вызова недовольства или паники среди населения, а также провоцирования деструктивных действий различных социальных групп.

Основными объектами применения ИО как в мирное, так и в военное время являются:

-- компьютерные системы и системы связи, используемые государственными организациями при выполнении своих управленческих функций;

-- военная информационная инфраструктура, решающая задачи управления войсками и боевыми средствами, сбора и обработки информации в интересах вооруженных сил;

-- информационные и управленческие структуры банков, транспортных и промышленных предприятий;

-- средства массовой информации, прежде всего электронные (радио, телевидение и т. д.).

Правительство США, определяя наиболее уязвимые для воздействия ИО объекты в национальной информационной инфраструктуре США, относит к ним: телекоммуникационные узлы, центры спутниковой связи и каналы международного информационного обмена.

По области применения информационное оружие подразделяется на ИО военного и невоенного назначения.

ИО, применение, которого возможно в условиях открытой войны (радиоэлектронное подавление), включает средства, выполняющие следующие функции:

-- поражение обычными боеприпасами по целеуказаниям средств радио- и радиотехнической разведки с частичным самонаведением на конечном участке;

-- поражение высокоточными боеприпасами нового поколения, интеллектуальными боеприпасами с самостоятельным поиском цели и самонаведением на ее уязвимые элементы;

-- радиолокационное подавление средств связи маскирующими помехами;

-- создание имитирующих помех, затрудняющих связь, синхронизацию в каналах передачи данных, инициирующих повторение и дублирование сообщений;

-- подавление средствами силовой РЭБ (с помощью мощного электромагнитного излучения, создающего подавляющие помехи за счет паразитных каналов приема);

-- выведение из строя радиоэлектронных компонентов путем воздействия больших электромагнитных или ионизирующих излучений;

-- силовое воздействие импульсом высокого напряжения через сеть питания;

-- нарушение свойств среды распространения радиоволн (например, срыв КВ-радиосвязи путем модификации параметров ионосферы);

-- реализация специальных методов воздействия систем связи на ЭВМ;

-- использование средств генерации естественной речи конкретного человека.

Особую опасность ИО представляет сегодня для информационных компьютерных систем органов государственной власти, управления войсками и оружием, финансами и банками, экономикой страны, а также для людей при информационно-психологическом (психофизическом) воздействии на них с целью изменения и управления их индивидуальным и коллективным поведением.

По своей результативности информационное оружие сопоставимо с оружием массового поражения.

К информационному оружию, применение которого возможно как в военное, так и в мирное время, могут быть отнесены средства поражения информационных компьютерных систем и средства поражения людей (их психики).

Применение этих и других видов информационного оружия в условиях открытости и расширения международного информационного обмена определяет особенности защиты человека, общества, государства и информационных систем от его воздействия. По оценке спецслужб, информационное оружие сейчас является одной из основных угроз информационной безопасности государства.

На ежегодной конференции по этим проблемам в Таганроге в 1999 г. были отмечены поражающие свойства информационного оружия и выработаны условия организации защиты от него. Среди выводов конференции можно выделить следующие:

1. Информационное оружие поражает мозг человека, разрушает способы и формы идентификации личности по отношению к фиксированным общностям, оно трансформирует матрицу памяти индивида, создавая личность с заранее заданными параметрами (тип сознания, искусственные потребности, формы самоопределения и т. д.), удовлетворяющими требованиям агрессора, выводит из строя системы управления государства-противника и его вооруженных сил. Доказано, что наибольшие потери, вооруженные силы несут от применения против них информационного оружия и прежде всего от воздействия поражающих элементов, действующих на системы управления и психику человека.

2. В последние годы, ведущие организации-разработчики в России достаточно интенсивно ведут НИР по созданию новых средств защиты от информационного оружия. Актуальным становится снижение стоимости средств защиты в условиях ограниченности финансов.

3. Организация защиты от такого оружия предполагает выполнение ряда условий. Материалы конференции «Информационная безопасность -- Юг России» 23-25 июня 1999. Таганрог, 1999; Тагарев Т. Т. Томас о ключевых элементах русского подхода к информационной войне // Информация и безопасность София 1998. № 2. С. 75.

Во-первых, наличие базовой концепции информационного оружия, позволяющей использовать психофизиологические и социокультурные средства и механизмы для защиты российского социума, государства и личности на основе рассмотрения общества как организованной, автономной и самоуправляемой системы с вписанным в нее менталитетом и набором социокультурных традиций.

Во-вторых, классификацию основных способов и форм поражения и разрушения органов управления государства и сознания индивида в информационной войне с учетом особенностей цивилизационно-культурного контекста. Эта классификация позволит на основе особенностей российской цивилизации выработать психологические, культурные и концептуальные установки, образующие систему защитных фильтров от дезорганизации общественного и индивидуального сознания путем размывания «смыслов» российской культуры, подмены значений общеизвестных понятий ценностей, стирающих различение между добром и злом, истиной и заблуждением, прекрасным и безобразным и др.

В-третьих, определение механизмов воздействия так называемых «программных закладок» (речи в речи, изображения на изображение) с использованием компьютеров и других аудиовизуальных средств на нейрофизиологический субстрат психического мира человека, нейролингвистического программирования, действующего на левую и правую гемисферы человеческого мозга, и разработку мероприятий, направленных на защиту индивида от поражающего воздействия этих «программных закладок» на матрицу памяти и психику индивида. Одним из защитных механизмов является приобщение человека к миру аутентичных произведений искусства, которые создают эстетический фильтр, отсекающий информационное воздействие противника.

В-четвертых, теоретическое моделирование спектра вариантов и методов применения «информационного оружия» и разработка прогноза развития «гуманного оружия» в связи с обычным военным оружием и выработка соответствующих средств защиты. Одним из средств защиты национальной безопасности России является подготовка к возможному нанесению массированного удара по мировому кибернетическому пространству, воплощенному в Internet, по компьютерным системам, электронной почте, чтобы дезорганизовать системы государственного и военного управления, а также критические инфраструктуры -- связь, электроснабжение, транспортные системы, перевозки, водоснабжение, снабжение газом, нефтью и другими видами топлива, службы по чрезвычайным ситуациям.

Разделяя озабоченность ученых и специалистов этой проблемой, нельзя все же согласиться с выводом о необходимости готовить ответный удар, начинать и вести подобные разработки у нас. Последствия при таком варианте легко прогнозируемы -- новый этап гонки вооружений, когда не хватает средств на уничтожение предыдущих видов оружия массового уничтожения, не говоря уже об удовлетворении интересов развития страны и ее граждан. Это многократно повышает значение наших предложений, сделанных еще в 1997 г., об организации совместных международных усилий по предотвращению информационных войн и ограничению оборота информационного оружия.

Борьба за мир и предотвращение войны через создание новых видов вооружений не спасли человечество в XX столетии от двух мировых и множества локальных войн. Продолжение прежней логики «борьбы за мир» приведет к втягиванию страны в новый виток гонки вооружений. Сети международного информационного обмена резко расширяют возможности использования информационного оружия, поэтому добиться его полного запрещения вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно.

В 1996 г. В. Н. Лопатин выступил с инициативой, которая была поддержана Государственной Думой РФ и в декабре 1997 г. превратилась в политическую инициативу девяти государств -- участников СНГ. Межпарламентская Ассамблея стран СНГ (по докладу автора) приняла обращение «О предотвращении информационных войн» обращение «О предотвращении информационных войн» Принято на 10-м пленарном заседании МПА государств -- участников СНГ постановлением № 10-21 от 6 декабря 1997 г. // СПС Консультант плюс. к Генеральной Ассамблее ООН, Межпарламентскому Союзу, Парламентской Ассамблее ОБСЕ, и Парламентской Ассамблее Совета Европы с предложением включить в повестку дня сессий этих международных организаций вопрос о подготовке и заключении международной конвенции об ограничении разработки, производства, распространения и использования информационного оружия и предотвращении информационных войн. Это, по оценке парламентариев стран СНГ, необходимо, чтобы мы не тратили средства сначала на разработку информационного оружия, затем на защиту от него, его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием.

В середине 1998 г. Россия предложила эту инициативу закрепить в совместном Заявлении Президентов РФ и США, которое было принято на саммите в Москве 2 сентября 1998 г. Затем 23 сентября 1998 г. МИД России направил Генеральному секретарю ООН специальное послание с приложением проекта Резолюции ГА ООН по этим вопросам. Однако в резолюции, принятой 4 декабря 1998 г. ГА ООН консенсусом без голосования (документ А/ RES/53/70), признававшей целесообразность разработки международных принципов обеспечения безопасности глобальных информационных систем и устанавливающей обязательность информирования Генерального секретаря ООН по общим вопросам оценки и обеспечения информационной безопасности, не были учтены предложения в части определения понятий «информационная война» и «информационное оружие», сопоставимости последнего с оружием массового поражения, установления режима разработки и применения информационного оружия.

После обсуждения этих проблем на международном семинаре в Женеве в августе 1999 г. в новой резолюции 54-й сессии ГА ООН № 54/49, принятой консенсусом 1 декабря 1999 г., было признано, что информационные технологии «могут негативно воздействовать на безопасность государства применительно как к гражданской, так и военной сферам», т. е. впервые было признано наличие военного и разоруженческого аспектов этой проблемы. В следующей резолюции ГА ООН № 55/28, принятой также консенсусом 20 ноября 2000 г., были подтверждены ранее принятые рекомендации, а также в рамках поиска возможных мер по ограничению существующих и потенциальных угроз в сфере информационной безопасности было предложено изучить соответствующие международные концепции, направленные на укрепление безопасности глобальных информационных систем. Так постепенно российский проект новых принципов международной информационной безопасности, поддержанный странами СНГ, находит свое воплощение в документах ООН и может стать основой для принятия специальной Конвенции ООН по этим вопросам. Альтернативой информационной войне наряду с установлением международных запретов должно и может стать расширение международного сотрудничества в интересах информационного мира.

«Усилия международного сообщества, направленные на развитие глобального информационного общества, -- заявлено в Окинавской хартии глобального информационного общества 2000 г. -- должны сопровождаться согласованными действиями по созданию безопасного и свободного от преступности киберпространства. Мы должны обеспечить осуществление эффективных мер -- как это указано в Руководящих принципах по безопасности информационных систем ОЭСР -- в борьбе с преступностью в компьютерной сфере. Будет расширено сотрудничество стран "Группы восьми" в рамках Лионской группы по транснациональной организованной преступности. Мы будем и далее содействовать установлению диалога с представителями промышленности, развивая таким образом успех, достигнутый на недавно прошедшей Парижской конференции "Группы восьми" "Диалог между правительством и промышленностью о безопасности и доверии в киберпространстве". Необходимо также найти эффективные политические решения актуальных проблем, как, например, попытки несанкционированного доступа и компьютерные вирусы. Мы будем и далее привлекать представителей промышленности и других посредников для защиты важных информационных инфраструктур».

4. Принципы, задачи и функции обеспечения национальной безопасности

Поскольку информационная безопасность, как было сказано выше, должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично строить ее по единым принципам, общим для национальной безопасности и информационной политики. В то же время, если сопоставить принципы обеспечения национальной безопасности, закрепленные в Законе РФ «О безопасности», Концепции национальной безопасности 2000 г., Доктрине информационной безопасности РФ, с принципами государственной информационной политики, изложенными в парламентском варианте Концепции государственной информационной политики (ГИП), то ни один из них прямо не совпадает с другим: в одном случае, приоритет экономических мер соотносится опосредованно, в других случаях принципы противоречивы по своему содержанию (например, баланс интересов -- равенство, государственные интересы -- социальная ориентация).

Так, в новой Концепции национальной безопасности раскрыто содержание ряда принципов, закрепленных в Законе РФ «О безопасности»: законность (соблюдение Конституции Российской Федерации, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности); соблюдение баланса жизненно важных интересов личности, общества и государства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации); не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека). Некоторые другие принципы не нашли отражения в Концепции, хотя закреплены в Законе (взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности). В то же время Концепция добавляет новые принципы обеспечения безопасности (приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления).

В Доктрине информационной безопасности подтверждены принципы: законность, открытость, правовое равенство, приоритетность отечественных информационных технологий и средств обеспечения информационной безопасности.

Таким образом, делаем вывод, что необходима как взаимная корректировка принципов обеспечения национальной безопасности и реализации информационной политики, так и учет ряда приведенных принципов при обеспечении информационной безопасности.

К принципам обеспечения информационной безопасности относятся:

1) законность (соблюдение норм международного права, Конституции РФ и законодательства РФ при осуществлении деятельности по обеспечению информационной безопасности);

2) открытость (информирование общества о деятельности органов государственной власти, органов местного самоуправления, общественных объединений с учетом ограничений, установленных законодательством);

3) правовое равенство (все участники процесса информационного взаимодействия равны, независимо от их политического, социального и экономического статуса);

4) сбалансированность (соблюдение баланса интересов субъектов, их взаимная ответственность);

5) реальность выдвигаемых задач (с учетом имеющихся ресурсов, сил и средств);

6) приоритетность (приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ);

7) системность (сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления);

8) интеграция с международными системами обеспечения информационной безопасности.

Аналогичный подход, по-видимому, необходим и при определении задач и функций обеспечения информационной безопасности на основе сравнительного и системного анализа других нормативных документов и разработок по этим вопросам.

К основным задачам в области обеспечения информационной безопасности В. И. Лопатин Лопатин В. И. Концепция развития законодательства в сфере обеспечения информационной безопасности// Изд. Гос. Думы. М.,1998. С.10. относит:

-- формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан в сфере информационной деятельности;

-- разработка и создание механизмов формирования и реализации государственной информационной политики России, методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

-- совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;

-- определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;

-- развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

-- координация деятельности органов государственной власти по обеспечению информационной безопасности;

-- совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

-- проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

-- обеспечение технологической независимости РФ, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

-- развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;

-- разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

-- создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

-- защита государственных информационных ресурсов, в том числе государственной тайны, прежде всего, в федеральных органах государственной власти, на предприятиях оборонного комплекса;

-- создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля деятельности органов государственной власти;

-- духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе, музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

-- сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

-- пропаганда средствами массовой информации национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта такой пропагандистской деятельности;

-- повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств -- участников СНГ;

-- создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

-- противодействие угрозе развязывания противоборства в информационной сфере;

-- создание единой системы подготовки кадров в области обеспечения информационной безопасности;

-- организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства.

Для успешного выполнения указанных задач необходима единая государственная система как главный компонент обеспечения информационной безопасности. При формировании такой системы необходимо учесть положительный опыт успешного функционирования в РФ государственной системы по защите государственной тайны. Законодательной основой этой деятельности должен стать Федеральный закон «Об информационной безопасности». Лопатин В. Н. Теоретико-правовые проблемы законодательного обеспечения информационной безопасности в РФ // Сборник материалов международной научно-практической конференции «Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики». СПб., 1999. С. 6.

Для реализации указанных задач на государственную систему обеспечения информационной безопасности возлагаются следующие функции:

-- оценка состояния информационной безопасности в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях (в том числе, определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации);

-- выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации;

-- определение приоритетных направлений предотвращения, отражения и нейтрализации угроз, минимизации ущерба от их реализации;

-- организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

-- разработка и принятие законов и иных нормативных правовых актов;

-- разработка федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации;

-- организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере, в том числе обеспечение контроля за созданием и использованием средств защиты информации

посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

-- страхование информационных рисков;

-- подготовка специалистов по обеспечению информационной безопасности, в том числе из числа работников правоохранительных и судебных органов;

-- информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности и работе государственных органов в этой сфере;

-- изучение практики обеспечения информационной безопасности, обобщение и пропаганда передового опыта такой работы в регионах;

-- правовая охрана и защита прав и интересов граждан, интересов общества и государства в области информационной безопасности, в том числе предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

-- координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

-- организация обучения способам и методам самозащиты физических лиц от основных угроз в информационной сфере;

-- содействие разработке и принятию норм международного права в сфере обеспечения информационной безопасности;

-- установление стандартов и нормативов в сфере обеспечения информационной безопасности.

В Российской Федерации сейчас насчитывается более 22 тыс. действующих стандартов. Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Девять ГОСТов: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96 относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений информационной безопасности. Кроме того, есть семейства родственных стандартов, имеющих отношение к защите информации:

-- системы тревожной сигнализации, комплектуемые извещателями различного принципа действия -- 12 ГОСТов;

-- информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т. д.) -- около 200 ГОСТов;

-- системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) -- больше 100 ГОСТов.

Значительная часть стандартов на методы контроля и испытаний (около 60%) не соответствует требованию Закона «Об обеспечении единства измерений», как правило, в части погрешностей измерений. Новиков В. А. О проблемах нормативного обеспечения в области защиты информации. Ростов, 1998. С.73. Отсутствуют стандарты в сфере информационно-психологической безопасности.

Таким образом, очевидно, что работа над объектами стандартизации в сфере информационной безопасности только разворачивается. Здесь крайне важен международный и зарубежный опыт. В 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC (Критерии оценки защищенности надежных систем), или Оранжевая книга (по цвету переплета), где были определены 7 уровней безопасности (А1 -- гарантированная защита; Bl, В2, ВЗ -- полное удовлетворение доступом; CI, С2 -- избирательное управление доступом; D -- минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как Красная книга (по цвету переплета). Агентство информационной безопасности ФРГ подготовило GREEN Book (Зеленая книга), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации, как в государственном, так и в частном секторе.

В 1990 г. Зеленая книга была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе была подготовлены ITSEC (Критерии оценки защищенности информационных технологий), или Белая книга. Это европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачу данных). С учетом интеграции России в общеевропейские структуры рассмотрим подробнее положения европейского стандарта.

В Белой книге названы основные компоненты безопасности -- критерии ITS ЕС:

1. Информационная безопасность.

2. Безопасность системы.

3. Безопасность продукта.

4. Угроза безопасности.

5. Набор функций безопасности.

6. Гарантированность безопасности.

7. Общая оценка безопасности.

8. Классы безопасности.

Согласно европейским критериям ITSEC информационная безопасность включает в себя шесть основных элементов ее детализации:

1) конфиденциальность информации (защита от несанкционированного получения информации);

2) целостность информации (защита от несанкционированного изменения информации);

3) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

4) цели безопасности (зачем нужна информационная безопасность);

5) спецификация функций безопасности:

-- идентификация и аутентификация (не только традиционная проверка подлинности пользователя, но и регистрация новых пользователей и удаление старых, а также изменение и проверка аутентификационной информации, в том числе средств контроля целостности и ограничение количества повторных попыток аутентификации);

-- управление доступом (в том числе временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);

-- подотчетность (протоколирование);

-- аудит (независимый контроль);

-- повторное использование объектов;

-- точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

-- надежность обслуживания (т. е. действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; обнаружение и нейтрализация ошибок; планирование для обеспечения коммуникационной безопасности, т. е. безопасности данных, передаваемых по каналам связи);

-- обмен данными;

6) описание механизмов безопасности.

В Белой книге определяется разница между понятиями «система» и «продукт». Под системой понимается конкретная аппаратно-программная конфигурация, созданная с вполне определенными целями и работающая в известном окружении, а под продуктом -- аппаратно-программный пакет, который можно купить и по своему усмотрению вставить в ту или иную систему. Для объединения критериев оценки системы и продукта в ITSEC вводится единый термин -- «объект оценки». Каждая система и/или продукт предъявляют свои требования к обеспечению конфиденциальности, целостности и доступности информации. Для их реализации необходим и соответствующий набор функций безопасности, таких, как идентификация и аутентификация, управление доступом, восстановление после сбоев, подотчетность, аудит, правила повторного использования объектов доступа, точность информации, надежность обслуживания, обмен данными.

Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности, которая декларируется как гарантированность безопасности, включающая два компонента -- эффективность и корректность механизмов безопасности (средств защиты). Гарантированность в некоторых источниках называют адекватностью средств защиты.

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности -- их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие «эффективность» включается, и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. ITSEC вводит три степени мощности (базовую, среднюю, высокую). При проверке корректности анализируется правильность и надежность реализации функций безопасности. ITSEC устанавливает семь уровней корректности -- от Е0 до Е6.

Общая оценка безопасности системы по ITSEC состоит из двух компонент -- оценки уровня гарантированной эффективности механизмов (средств) безопасности и оценки уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

В европейских критериях устанавливается 10 классов безопасности (F-Cl, F-C2, F-Bl, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX).

Первые пять аналогичны классам CI, С2, Bl, В2, ВЗ американских критериев TCSEC. Класс F-IN предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании, что существенно для систем управления технологическими процессами. Класс F-DI ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-DI и F-DC.

Канада разработала СТСРЕС и позже США разработали новые Федеральные критерии (Federal Criteria). Так как эти критерии несовместимы, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common Criteria (СС). Общие критерии дают набор критериев по оценке защищенности и устанавливают: требования к функциональным возможностям и гарантиям; 7 уровней доверия (уровни гарантий при оценке), которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии); два понятия: «профиль защиты» (РР) и «цель безопасности» (ST).

Одним из отечественных аналогов перечисленных стандартов является руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».

Комплексный характер защиты информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

ГОСТ 28147--89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

ГОСТ Р 34.10--94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

ГОСТ Р 34.11--94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;

ГОСТ Р 50739--95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

При этом в вопросе о криптографии, Лопатин В. Н. Проблемы шифрования: взгляд из парламента // Computer World. 1998. № 13. С. 56. необходимо определить, кто и как должен защитить информацию. ФАПСИ претендовало на защиту всей, в том числе открытой информации. Полагаем, что государство может ограничиться защитой прав только в отношении своей информации с ограниченным доступом (прежде всего государственной и служебной тайн). Все остальное надо подчинить единым, понятным правилам и исполнимым запретам. Это должны быть законы, а не правила, изменяемые чиновниками ежедневно. Следуя им, субъект сможет защищать свою информацию сам доступными ему средствами.

Поскольку деятельность любой организации подвержена множеству рисков, в том числе вследствие использования информационных технологий, то относительно недавно появилась новая функция -- управление рисками, которая включает в себя два вида деятельности: оценку (измерение) рисков и выбор эффективных и экономичных защитных регуляторов. Процесс управления рисками можно разделить на следующие этапы:

1) выбор анализируемых объектов и степени детальности их рассмотрения;

2) выбор методологии оценки рисков;

3) идентификация активов;

4) анализ угроз и их последствий, определение слабостей в защите;

5) оценка рисков;

6) выбор защитных мер;

7) реализация и проверка выбранных мер;

8) оценка остаточного риска.

Правовое регулирование этих отношений возможно и необходимо, на наш взгляд, прежде всего, через страхование информационных рисков.

Проблема обеспечения безопасности носит комплексный характер. Для ее решения необходимо сочетание правовых мер с организационными и программно-техническими (идентификация и аутентификация; управление доступом; протоколирование и аудит; криптография; экранирование). Одной из первых работ в России, посвященных защите информации программно-техническими мерами, созданию и внедрению безопасных информационных технологий в проектах информатизации России, является отчет, подготовленный в 1992 г. ведущими специалистами Российской Академии наук и научно-исследовательских институтов РФ. Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России. / Под ред. д.т.н. В. В. Липаев М., 1992. С. 56.

5. Законодательство в сфере обеспечения информационной безопасности и его место в системе российского права и законодательства России

Право в сфере обеспечения информационной безопасности. Поскольку отношения, возникающие в связи с обеспечением информационной безопасности, относятся как к информационной сфере, так и к сфере обеспечения национальной безопасности, можно считать, что право в области обеспечения информационной безопасности -- это подотрасль информационного права, представляющая собой совокупность правовых норм, регулирующих общественные отношения по защите национальных интересов в информационной сфере (жизненно важных интересов личности, общества и государства на сбалансированной основе) от угроз.

Объектом права здесь выступает информационная безопасность, а предметом -- общественные отношения, связанные с ее обеспечением.

Изучает эти вопросы юридическая наука. По мере формирования и развития науки информационного права как самостоятельной отрасли науки в качестве подотрасли юридической науки будет выступать наука права информационной безопасности.

Наука права информационной безопасности -- это общественная наука, изучающая общественные отношения в сфере обеспечения информационной безопасности, их закономерности и отражение в праве, правоохранительной и правоприменительной практике.

Законодательство в сфере обеспечения информационной безопасности. Здесь следует отметить, что предложенная отраслевая структура законодательства не совсем соответствует как Общеправовому классификатору отраслей законодательства, утвержденному Указом Президента РФ от 16 декабря 1993 г. №2171, так и Классификатору правовых актов, утвержденному Указом Президента РФ от 15 марта 2000 г. № 511, хотя, безусловно, он тоже требует корректировки. Общеправовой классификатор отраслей законодательства // Правовой классификатор и правовой тезаурус в законотворчестве и юридической практике. Кодификация российского законодательства. М., 1998. С. 193.

В 1993 г. Общеправовой классификатор выделил как самостоятельную отрасль российского законодательства законодательство о безопасности (350.000.000), в состав которого наряду с общими вопросами безопасности, вопросами статуса органов безопасности, внешней разведки было включено и законодательство о государственной тайне. Хотя информационное законодательство и не было выделено как самостоятельная отрасль (лишь как подотрасль в основах конституционного строя включено законодательство об информации и информатизации (010.315.000); правовая охрана интеллектуальной собственности (020.080.000) -- как подотрасль в гражданском законодательстве. При этом, ошибочно в самостоятельную подотрасль выделено патентное право, являющееся одним из объектов интеллектуальной собственности; средства массовой информации (210.040.070) -- в законодательстве о культуре и др.), но законодательство об информационной безопасности в силу своей специфики уже тогда являлось подотраслью законодательства о безопасности и могло объединять при этом нормы, содержащиеся в нормативных актах других отраслей законодательства, в том числе: 010.080.000 -- защита прав и свобод человека и гражданина (в основах конституционного строя); 110.050.000 -- коммерческая тайна (в законодательстве о предприятиях и предпринимательской деятельности) и др.

В 2000 г. Классификатор правовых актов выделил как самостоятельную подотрасль законодательство об информационной безопасности в двух случаях: в 120.070.000 (в отрасли информации и информатизации) и в 160.040.030 (в отрасли безопасности и охраны правопорядка). Таким образом, законодательство об информационной безопасности в силу своей специфики уже является подотраслью законодательства о безопасности и об информации и информатизации и может объединять при этом нормы, содержащиеся в нормативных актах других отраслей законодательства, в том числе: 010.060.000-- защита прав и свобод человека и гражданина (конституционный строй); 030.130.160-- служебная и коммерческая тайна (в гражданском праве) и др.

В то же время Классификатор 2000 г. повторил ошибки прежнего Классификатора 1993 г. и допустил новые серьезные неточности. Так, если в первом случае (120.070.000) информационная безопасность упоминается в одном ряду с персональными данными и информационными ресурсами по категории доступа, то во втором случае (160.040.030) она отнесена только к безопасности общества, тогда как к безопасности государства отнесена государственная тайна, являющаяся объектом защиты в системе информационной безопасности, а безопасность личности по данному Классификатору вообще оказалась за рамками информационной безопасности. Такое деление весьма условно и требует корректировки. Копылов В. А. Информационное право. С. 53.

Можно лишь предположить, что при формировании законодательства в информационной сфере в самостоятельную отрасль законодательство в сфере обеспечения информационной безопасности будет подотраслью информационного законодательства, а при его кодификации (в случае принятия Информационного кодекса Российской Федерации) может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и что его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы. Также подготовлена концепция развития законодательства в сфере информационной безопасности, ее положения одобрены на парламентских слушаниях в Государственной Думе РФ, на заседании Комитета Государственной Думы РФ по безопасности в ноябре 1998 г. и предполагают принятие более 20 новых законов и внесение изменений и дополнений в более, чем 50 действующих законов, работа над которыми уже идет.

Межведомственная комиссия Совета безопасности РФ по информационной безопасности своим решением от 2 декабря 1997 г., отметив, что существующее правовое регулирование отношений в области обеспечения информационной безопасности не соответствует современным требованиям и препятствует формированию эффективной системы информационной безопасности Российской Федерации, определила следующие основные направления развития законодательства в области обеспечения информационной безопасности:

внесение изменений и дополнений в действующее законодательство для развития обеспечения информационной безопасности в целях устранения противоречий нормам Конституции РФ и международным соглашениям, к которым присоединилась РФ, противоречий между законодательными актами федерального уровня и актами субъектов РФ, а также конкретизации норм ответственности за правонарушения в области информационной безопасности;

законодательное разграничение уровней правового регулирования проблем обеспечения ИБ (федеральный уровень, уровень субъекта Федерации, уровень местного самоуправления);

создание нормативной правовой базы для развития системы страхования информационных рисков, направленной на гарантированное обеспечение страховой защиты как пользователей информационных услуг, так и субъектов, предоставляющих такие услуги; уточнение правового статуса иностранного инвестора при инвестировании в отрасль связи и информатизации в интересах обеспечения национальной безопасности Российской Федерации;

законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

разработка национальной программы развития общедоступных компьютерных сетей, включая определение правового статуса провайдеров Интернет-услуг и правовое регулирование их деятельности, представление в Интернете информации о деятельности органов государственной власти и органов местного самоуправления, защиту русского языка в Интернете;

создание правовой базы для функционирования в Российской Федерации системы региональных центров обеспечения информационной безопасности;

правовое регулирование развития негосударственного компонента в формировании информационного общества и обеспечении информационной безопасности Российской Федерации.

Этим же решением Комиссия согласилась с оценкой автора как докладчика по вопросу «О концепции развития законодательства России в сфере обеспечения информационной безопасности», что «законодательство России в сфере обеспечения информационной безопасности развивается бессистемно, нередко противоречиво, не обеспечен баланс интересов личности, общества и государства, не защищены должным образом права и законные интересы физических и юридических лиц по доступу к информации, ее использованию и защите от преступных посягательств».

В соответствии с п. «и», «м» и «о» ст. 71 Конституции Российской Федерации (информация и связь, а также безопасность и правовое регулирование интеллектуальной собственности отнесены к ведению Российской Федерации, значит, ответственность за нормотворчество и его результаты в законодательстве и практике правоприменения по этим вопросам лежит, прежде всего, на федеральных органах государственной власти. Анализ действующего законодательства в сфере информационной безопасности (более 100 законов и 150 иных нормативных актов) выявил его принципиальные недостатки: декларативность (например, перечисляется более 40 видов тайн, а в кодексах указано всего пять, за разглашение которых предусмотрена ответственность); противоречивость (например, существуют два базовых закона: «Об информации, информатизации и защите информации» и «О международном информационном обмене», в первом вся информация с ограниченным доступом делится на информацию, содержащую государственную тайну, и конфиденциальную информацию, второй относит государственную тайну к конфиденциальной информации. Эта, казалось бы, небольшая ошибка чревата далеко идущими последствиями); огромное количество белых пятен.

Несовершенство правовой базы естественно в период, когда общественные отношения опережают законодательную базу, и граждане, общество, предприятия и организации вынуждены сами защищать свои права, нередко в нарушение установленных норм.

Сегодня следует признать отсутствие единого правового поля, когда заявленный в Конституции Российской Федерации Конституция Российской Федерации // Российская газета. 1992. 25 декабря. приоритет интересов личности подменяется в законах приоритетом интересов ведомств, нормы федеральных законов противоречат Конституции, законодательство субъектов Федерации не соответствует федеральному, а подзаконные акты по-прежнему являются основой для произвола чиновников. Государство, не справляясь в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, вынуждает их самостоятельно реализовывать свои интересы и защищать свои права всеми способами, не запрещенными законом, в соответствии с конституционным принципом самозащиты. Однако государство в большинстве случаев, не определив эти запреты по закону, пытается в лице различных структур (чиновников) разрешать такую защиту в каждом конкретном случае. Такой подход лишает граждан и организации уверенности в завтрашнем дне. Необходимо четко определить долю и границы государственного участия в обеспечении информационной безопасности, в том числе через законодательное установление запретов и ограничений в информационной сфере. Лопатин В.Н.: 1) Информационная безопасность в системе государственного управления (теоретические и организационно-правовые проблемы): Автореф. дис. канд. юрид. наук. СПб., 1997; 2) Концепция развития законодательства в сфере обеспечения информационной безопасности // Изд. Гос. Думы РФ. М, 1998; 3) Концептуальные подходы к развитию законодательства в области обеспечения информационной безопасности // Безопасность информационных технологий. МГИФИ. 1998. № 2. С. 36

...

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены