Аудит информационной безопасности

Размещено на http://allbest.ru

Аудит информационной безопасности



Содержание

Введение

Глава 1. Теоретические основы информационной безопасности

1.1 Основные понятия и определения в сфере информационной безопасности

1.2 Понятия информации

1.3 Свойства информации

1.4 Угрозы информации

1.5 Классификация направлений угроз информации

1.6 Источники информационных угроз

1.7 Угрозы конфиденциальной информации

1.8 Направления (методы) защиты информации

1.9 Концептуальная модель защиты информации

Глава 2. Методы (направления) обеспечения информационной безопасности

2.1 Правовое обеспечение информационной безопасности

2.2 Организационно-технические методы обеспечения информационной безопасности

2.3 Инженерно техническая защита

2.4 Система защиты (безопасности)

Глава 3. Аудит информационной безопасности

3.1 Цели, задачи и направления аудита информационной безопасности

3.2 Аудит выделенных помещений

3.3 Структура плана аудита помещений

3.4 Этапы непосредственного проведения аудита

3.5 Заключительный этап комплексной специальной проверки помещений

Список литературы



Введение

Появление и бурное развитие вычислительной техники привело к созданию различных автоматизированных информационных и управляющих систем. Рост доверия к таким системам увеличивался по мере повышения надежности и производительности средств вычислительной техники. Этим системам стали доверять все более ответственную работу, от качества выполнения которой зависит жизнь и благосостояние отдельных людей, организаций, государств и человечества в целом. Автоматизированные системы управляют технологическими процессами на предприятиях и атомных электростанциях, движением самолетов и поездов, различными системами оружия, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию. Быстрое снижение стоимости средств вычислительной техники привело к резкому расширению сфер ее применения. Без компьютеров теперь немыслима любая производственная и управленческая деятельность, они широко используются в медицине, образовании и многих других сферах человеческой деятельности.

Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых, так называемых, информационных технологий.

Появление любых новых технологий, как правило, имеет как положительные, так и отрицательные стороны. Тому множество примеров. Атомные и химические технологи, решая проблемы энергетики и производства новых материалов, породили экологические проблемы. Интенсивное развитие транспорта обеспечило быструю и удобную доставку людей, сырья, материалов и товаров в нужных направлениях, но и материальный ущерб и человеческие жертвы при транспортных катастрофах возросли.

Информационные технологии, также не являются исключением из этого правила, и поэтому следует заранее позаботиться о безопасности при разработке и использовании таких технологий.

В целом, криминальное использование современных информационных технологий делает "компьютерную преступность" не только весьма прибыльным, но и достаточно безопасным делом. И не зря Подкомитет ООН по преступности ставит эту проблему в один ряд с терроризмом и наркотическим бизнесом. В одном из банков Великобритании, с помощью компьютера в одно мгновение был похищен миллиард долларов. Ежегодные потери от "компьютерной преступности" в Европе и Америке составляют несколько десятков миллиардов долларов. При этом в девяноста процентах случаев не удается выйти на след преступника.

Изложенные обстоятельства определяют актуальность подготовки специалистов, обладающих знаниями, навыками и умениями в сфере обеспечения информационной безопасности организации, в условиях широкого применения современных информационных технологий.

В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Кто и как угрожает информационной безопасности и как этим угрозам противодействовать.

Примечательная особенность нынешнего периода -- переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которые при необходимости могут быть использованы для достижения конкретных целей хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. «Информационные ресурсы -- отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)». Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для производства товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации -- весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время -- деньги!) производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа. В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место.



Глава 1. Теоретические основы информационной безопасности

Рассматривая вопросы, связанные с информационной безопасностью и защитой информации, необходимо определить ряд понятий и терминов, трактовка которых имеет достаточно широкий спектр возможных значений в зависимости от предметной области работы специалиста.

1.1 Основные понятия и определения в сфере информационной безопасности

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации .

Информационные процессы - процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации.

Информационная сфера (среда) - сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Злоумышленник - субъект, оказывающий на информационный процесс воздействия с целью вызвать его отклонение от условий нормального протекания.

Информатизация - процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти на основе формирования и использования информационных ресурсов.

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

1.2 Понятия информации

Рассматривая информационную сферу (среду) как сферу деятельности субъектов (граждане, организации, государство), связанную с созданием, преобразованием и потреблением информации можно выделить основной объект этих отношений: ИНФОРМАЦИЮ.

Как уже отмечалось, под «Информацией» будем понимать - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления [2].

Как показывает опыт, большинство преступлений начинается со сбора информации, поэтому важно обеспечить её защиту.

К основным факторам, способствующим повышению уязвимости информации, можно отнести:

1. Увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

2. Сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

3. Расширение круга пользователей, имеющих непосредственный доступ к информационным ресурсам и находящимся в них массивам данных;

4. Усложнение режимов работы технических средств вычислительных систем;

5. Автоматизация межмашинного обмена информацией, в том числе на больших расстояниях.

Для анализа и выбора способов и средств защиты информации необходимо определить понятие и виды «Информации», с точки зрения информационной безопасности.

Термин «Информация» прочно вошел в нашу жизнь со времен К. Шеннона, известного американского ученого, основоположника современной теории информации и связи. Аналитики понимают под этим термином вполне четкое количественное определение новых знаний как меры совокупности достоверных ответов на вопросы о событиях с неоднозначными исходами.

Чем меньше ожидается тот или иной исход, тем большую информацию получает пользователь.

При этом, вообще говоря, не важно, идет ли речь о сведениях государственного или частного характера.

Существует достаточно много вариантов классификации информации по ее видам, отражающих различие подходов к проблеме информационной защиты. Особого внимания заслуживает классификация, основанная на физической форме конечного проявления информации.

Дело в том, что физическая форма (звук, свет и др.) в значительной степени определяет характер информационных угроз, технологию и сценарии их развития, а соответственно и способы организационно - технического противодействия.

По физической форме своего проявления информация делится на два основных вида акустическую (чаще всего речевую) и сигнальную. Первая воспринимается органами слуха, вторая органами зрения. При этом не важно, какие промежуточные преобразования происходят с информацией.

Термин «сигнальная информация» охватывает достаточно широкое множество возможных схем информационного общения, существующих на практике.

Это, в частности зрительное (видео) наблюдение за обстановкой, буквенно-письменная информация в виде документов (физических или в форме сигналов), графические или чертежные материалы, символьно - цифровая на различных носителях и даже в виде физических образцов материалов, изделий и пр.

В связи с этим необходимо дальнейшее видовое дробление понятие сигнальной информации. Выделим две разновидности: Аналого-цифровую и объемно-видовую. Знание физической формы проявления информации в конкретном сценарии информационной угрозы теоретически достаточно для сопоставления однородных по виду информационных угроз в пределах одной и той же обстановки или зоны защиты рис.1.

Рис. 1



Однако этих знаний мало для сопоставления угроз и возможного ущерба от них применительно к разным условиям или разным зонам защиты. Необходима классификация информации по степени ее важности. Важность информации устанавливается ее владельцев в некой дискретной шкале категорий рис.2.

Рис.2

1.3 Свойства информации

С точки зрения защиты у «Информации» можно выделить ряд существенных свойств: (рис. 3)

1. Конфиденциальность - свойство информации, значение которого устанавливается владельцем информации, отражающее ограничение доступа к ней, согласно существующему законодательству.

2. Доступность - свойство информации, определяющее степень возможности получения информации.

3. Достоверность - свойство информации, определяющее степень доверия к ней.

4. Целостность - свойство информации, определяющее структурную пригодность информации к использованию.



Рис.3

1.4 Угрозы информации

Под угрозами информации, будем понимать потенциальные или реально возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, достоверность, целостность). По конечному проявлению можно выделить следующие угрозы информации: (рис. 4)

1. Ознакомление.

2. Модификация.

3. Уничтожение.

4. Блокирование.

Конкретные реализации угроз информации называются - сценариями угроз информации.

· Ознакомление с конфиденциальной информацией может проходить различными путями и способами, при этом существенным, является отсутствие изменений самой информации.

Нарушение конфиденциальности или секретности информации связано с ознакомлением с ней тех лиц, для которых она не предназначалась. Какая информация является конфиденциальной или секретной решает собственник или владелец этой информации. Они же определяют круг лиц, имеющих доступ к ней.

Нарушение конфиденциальности информации может произойти путем ознакомления с ней лицами, не имеющими на то права и несанкционированной модификации грифа секретности (значимости).

· Модификация информации направлена на изменение таких свойств как конфиденциальность, достоверность, целостность, при этом подразумевается изменение состава и содержания сведений. Модификация информации не подразумевает ее полное уничтожение.

· Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановлена никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении информации нарушается также свойство доступности информации.

· Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана:

· С отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС),

· Отсутствием какого-либо специалиста или недостаточной его квалификацией,

· Отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др.

Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.

1.5 Классификация направлений угроз информации

Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации, приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.

Перечисленные выше угрозы информации могут быть классифицированы по следующим направлениям (рис.5):

Рис. 5



1.6 Источники информационных угроз

Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты рис. 6.

Рис.6

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

· 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

· 17% угроз совершается извне -- внешние угрозы;

· 1% угроз совершается случайными лицами.

Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

· - Информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров,

· Научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

· Информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

· Информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

1.7 Угрозы конфиденциальной информации

Для систем информационного общения существует одно общее положение, очень важное для понимания информационной безопасности в целом. Информация всегда адресная и всегда имеет владельца. Более того, адресность не произвольна, а определяется собственником информации. Если это право подчеркивается в сообщении (указывается гриф секретности), то информация становится конфиденциальной. Получая данную информацию, пользователь не может произвольно ею распоряжаться, она ему не принадлежит (если не было передачи права собственности).

Право собственности определяется действующим в стране законодательством.

В зависимости от вида собственности, конфиденциальная информация может быть отнесена к информации государственной, коммерческой, личной. Такое соотнесение делается соподчинено, с нисходящей иерархией.

Перечень сведений составляющих государственную тайну формирует государство в лице его институтов и учреждений. Эти сведения являются обязательной тайной для отдельных, нижестоящих по рангу, юридических и физических лиц страны.

Перечень сведений определяющих коммерческую тайну, формирует коммерческое предприятие. Оно же обеспечивает их сохранность и защиту.

Личную тайну определяет физическое лицо. Естественно, что сохранность и защита этих сведений - его забота, хотя правовая защита за государством.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям Рис. 7

Рис.7

1. Разглашение -- это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним,

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.

К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.).

Неформальные коммуникации включают личное общение, выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).

Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства.

2. Утечка -- это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам утечки информации.

Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая (звук), либо электромагнитное излучение, либо лист бумаги и др.

С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

Соответственно этому классифицируются и каналы утечки информации: на визуально оптические, акустические, электромагнитные и материально- вещественные.

Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям.

Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Для реализации этих действий злоумышленнику приходится проникать на объект защиты, используя различные технические средства. С развитием компьютерных технологий стал доступен дистанционный несанкционированный доступ к охраняемой информации или, иначе говоря - компьютерный взлом.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией:

· Разглашение (излишняя болтливость сотрудников) - 32%

· Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%

· Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

· Традиционный обмен производственным опытом - 12%;

· Бесконтрольное использование информационных систем - 10%;

· Наличие предпосылок возникновения среди сотрудников конфликтов - 8%.



1.8 Направления (методы) защиты информации

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

1. Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

2. Организационная защита - это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

3. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Для реализации защиты информации создается система безопасности. Под системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методой и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз. В рамках системы безопасности присутствует система защиты информации.

Система защиты информации (СЗИ) - это организованная совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту от внутренних и внешних угроз.

1.9 Концептуальная модель защиты информации

Рассмотрев такие понятия как «Информация», «Угрозы информации», «Система защиты информации», можно вышесказанное представить концептуальной моделью защиты информации рис.8

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

Рис.8 Концептуальная модель защиты информации

Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы.

Методы могут быть реализованы как аппаратно, программно, так и смешанно: программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение от противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.

В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведенные на рис. 8 являются основными элементами концептуальной модели, которые будут рассмотрены более подробно в следующих разделах.

Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.



Вопросы для самоконтроля

1. Что подразумевается под основными понятиями и определениями в сфере информационной безопасности?

2. Что такое и информации?

3. Какие бывают виды информации?

4. Какими свойствами обладает информация?

5. Какие бывают угрозы информации?

6. Как классифицируются направления угроз информации?

7. Какие существуют источники информационных угроз?

8. Перечислите угрозы конфиденциальной угрозы.

9. Какие существуют направления для защиты информации?

10. Начертите концептуальную модель защиты информации.



Глава 2. Методы (направления) обеспечения информационной безопасности

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной, духовной и других составляющих безопасности страны.

В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Кто и как угрожает информационной безопасности и как этим угрозам противодействовать - вот главный вопрос, который требует решения.

Информатизация любых сфер жизнедеятельности человека, в настоящее время невозможна без использования информационных технологий на основе современных средств вычислительной техники и связи. Увеличение объема информации вызывает нарастающее использование средств вычислительной техники во всех информационных процессах. Многие операции становятся автоматическими, развивается удаленный доступ пользователей не только к информационным ресурсам, но и к управлению организацией информационных процессов.

Все вышеперечисленное дает повод к развитию и совершенствованию качественно новых сценариев реализации информационных угроз. В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место.

Для выявления, предотвращения и т.д. необходима система, объединяющая совокупность органов, служб, средств, методов и мероприятий, обеспечивающая защиту создания, развития и функционирования новых информационных технологий.

Такая система называется системой безопасности. В основе построения системы безопасности лежат: правовое, организационное и инженерное - техническое обеспечения.

Общие методы (направления) обеспечения информационной безопасности РФ приведены на рис. 9

Рис.9

2.1. Правовое обеспечение информационной безопасности

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов РФ.

Право - совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения.

Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Правовую основу концепции информационной безопасности Российской Федерации составляют: Конституция РФ, Доктрина информационной безопасности РФ, концепция национальной безопасности РФ, законы и другие правовые и нормативные акты призванные обеспечить информационную безопасность Российской Федерации на всех уровнях и направлениях. Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми актами (рис. 10).

Рис. 10

Иными словами можно сказать, что существует следующая структура правовых актов, ориентированных на правовую защиту информации:

· Международные акты информационного законодательства

· Информационно - правовые нормы Конституции Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44 Конституции РФ)

· Отрасли законодательства, акты которых целиком посвящены вопросам информационного законодательства.

· Отрасли законодательства, акты которых включают отдельные информационно - правовые нормы.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов:

Федеральный закон от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (принят ГД ФС РФ 25.01.1995). В этом законе определен правовой режим информатизации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимоотношений.

Наиболее существенными в законе являются:

Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации:

· Обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

· Формирование и защита государственных информационных ресурсов;

· Обеспечение национальной безопасности в сфере информатизации;

· Развитие законодательства в сфере информатизации и защиты информации.

Статья 6. Информационные ресурсы как элемент состава имущества государства, организаций, общественных объединений и отдельных граждан:

· Государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения ее к гостайне;

· Собственник информационных ресурсов, отнесенных к гостайне вправе распоряжаться ими только с разрешения соответствующих органов государственной власти;

· Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством РФ.

Статья 10. Документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к гостайне и конфиденциальную.

Не могут быть отнесены к информации с ограниченным доступом:

· Законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений а также права, свободы и обязанности граждан и порядок их реализации;

· Документы с информацией о чрезвычайных ситуациях угрожающих безопасности граждан и населения в целом;

· Документы открытых фондов библиотек и архивов.

Статья 11. Персональные данные (информация о гражданах) относится к области конфиденциальной информации. Она не может распространяться и использоваться без согласия физического лица, кроме как на основании судебного решения.

Подлежит обязательному Лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных.

Статья 12. Пользователи обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации, кроме информации с ограниченным доступом.

Порядок получения пользователем информации (место, время, должностных лиц, необходимых процедур) определяет владелец информационных ресурсов.

Статья 17. Право собственности на информационные системы, технологии и средства их обеспечения.

Статья 23. Защита прав субъектов информационных отношений осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

Закон РФ от 21.07.1993 N 5485-1(ред. от 06.10.1997) "О государственной тайне" Субъекты и объекты правоотношений.

Субъектами правоотношений в соответствии со Статьей 1 Закона о государственной тайне являются органы государственного управления, а также любые юридические лица, т.е. предприятия, учреждения и организации, независимо от их организационно-правовых форм деятельности и видов собственности.

Действие закона распространяется лишь на тех граждан и должностных лиц, которые взяли на себя обязательства, либо обязаны по своему статусу выполнять требования законодательства о гостайне. В соответствии с этой нормой физическое лицо является субъектом рассматриваемых правоотношений лишь в случае допуска к закрытым сведениям в добровольном порядке на договорной основе.

В противном случае доступ к таким сведениям может быть квалифицирован как нарушение законодательства, а гражданин не может быть ограничен в своих правах, в частности, на выезд за границу и неприкосновенность частной жизни.

Объектами правоотношений являются сведения из военной, внешне политической, экономической, разведывательной, контрразведывательной и оперативно - розыскной сфер государственной деятельности. В законе дана подробная характеристика таких сведений. В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

· О научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

· О методах и средствах защиты информации;

· О государственных программах и мероприятиях в области защиты гостайны.

Принципы, механизм и процедуры засекречивания.

Законодательное регулирование порядка засекречивания сведений, составляющих гостайну, состоит в установлении определенных принципов:

· Законности;

· Обоснованности;

· Своевременности.

Принцип законности заключается в том, что закон определяет, как перечень сведений подлежащих засекречиванию, так и перечень сведений, не подлежащих засекречиванию. Виновные в нарушении требований закона

должностные лица могут быть привлечены к уголовной, административной или дисциплинарной ответственности. Все граждане вправе обжаловать такие действия в суде.

Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений исходя из баланса жизненно-важных интересов государства, общество и отдельных граждан. При этом предполагается, что органами государственного управления должна быть разработана соответствующая методика экспертной оценки по экономическим или иным критериям.

Принцип своевременности состоит в том, что ограничения на распространения сведений должны быть установлены не позже момента их получения.

В законе установлены три степени секретности и соответствующие им грифы для носителей информации: Особой важности, Совершенно секретно, Секретно. Порядок определения степени и грифа устанавливается нормативным актом Правительства РФ.

Устанавливается следующая структура объектов законодательства о государственной тайне.

· На общефедеральном уровне формируется перечень, утверждаемый президентом РФ и подлежащий открытому опубликованию. В нем должны быть также указаны федеральные органы управления, которые наделяются полномочиями по распоряжению конкретным блоком сведений.

· На основании общегосударственного перечня, указанные органы управления разрабатывают развернутые перечни и устанавливают степени их секретности.

· Отдельные перечни сведений по решению. Заказчиков могут разрабатываться также в рамках целевых комплексных программ.

Так как засекречивание информации приводит к ограничению прав собственника на распространение и использование сведений, то законом предписывается возмещение собственнику за счет государства материального ущерба, размер которого определяется договором между собственником и органом государственного управления. В договоре также предусматривается обязательство собственника информации по ее нераспространению. Конфликтные ситуации решаются в судебном порядке.

Законом установлен механизм дополнения действующих перечней, если они не дают возможности идентификации или отнесения новых сведений к секретной информации. В этом случае администрация структуры-разработчика обеспечивает предварительное засекречивание и в месячный срок направляет в адрес уполномоченного должностного лица, утвердившего конкретный перечень, предложения по его дополнению и применению. Для принятия решения по этим предложениям устанавливается трехмесячный срок.

Процедура засекречивания сводится к оформлению реквизитов носителей информации, составляющих государственную тайну. Они состоят из данных:

· О степени секретности со ссылкой на соответствующий пункт действующего перечня;

· Органе, осуществившем засекречивание;

· Регистрационном номере;

· Дате или условии рассекречивания.

Если носитель содержит составные части с различными степенями секретности, то в целом ему присваивается наивысший гриф.

Законодательство определяет четкий порядок и процедуру рассекречивания сведений и их носителей, которые рассматриваться не будут.

Следует упомянуть только об установлении предельного пятилетнего срока пересмотра содержания действующих перечней и установленных ранее грифов секретности.

Срок засекречивания не может превышать 30 лет, хотя в исключительных случаях этот срок может быть продлен полномочным руководителем органов государственного управления.

Значительным шагом в развитии законодательства в сфере защиты государственной тайны является гарантия возможности обращений с запросами о рассекречивании. Установлен обязательный трехмесячный срок рассмотрения и ответа по существу. В противном случае виновные должностные лица несут административную (дисциплинарную) ответственность.

Права и обязанности субъектов: Для юридических лиц, независимо от форм собственности, проведение работ с использованием секретных сведений может осуществляться лишь на основе лицензии. Порядок их получения устанавливается правительством РФ.

Основанием для выдачи лицензии являются результаты специальной экспертизы предприятий и организаций и государственной аттестации их руководителей. При этом должны быть выполнены следующие условия:

· Знание требований нормативных документов, утвержденных правительством РФ;

· Наличие необходимого количества структурных подразделений по защите государственной тайны и специально подготовленных сотрудников необходимого уровня квалификации;

· Наличие сертифицированных средств защиты.

Законом устанавливается три формы допуска к государственной тайне, соответствующие трем степеням секретности. Сроки, обязательства и порядок переоформления допуска определяется нормативными актами Правительства РФ.

Закон допускает временное ограничение прав должностных лиц и граждан, допущенных или ранее допускавшихся к секретным сведениям.

Ограничения касаются:

· Права выезда за границу на срок, оговоренный в контракте при оформлении допуска в соответствии с законом РФ «О въезде в РФ и выезде из РФ»;

· Права на неприкосновенность частной жизни при проведении проверок в период оформления допуска.

За нарушение законодательства РФ о государственной тайне Закон предусматривает уголовную, административную, гражданско-правовую или дисциплинарную ответственность.

Закон РФ от 05.03.1992 N 2446-1 (ред. от 24.12.1993) "О безопасности". Настоящий Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

К основным объектам безопасности относятся:

· Личность - ее права и свободы;

· Общество - его материальные и духовные ценности;

· Государство - его конституционный строй, суверенитет и территориальная целостность.

Статья 2. Субъекты обеспечения безопасности: Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.

Государство в соответствии с действующим законодательством обеспечивает безопасность каждого гражданина на территории Российской Федерации. Гражданам Российской Федерации, находящимся за ее пределами, государством гарантируется защита и покровительство.

Граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации, нормативными актами органов государственной власти и управления краев, областей, автономной области и автономных округов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, общественным и иным организациям и объединениям, оказывающим содействие в обеспечении безопасности в соответствии с законом.

Статья 3. Угроза безопасности:Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Реальная и потенциальная угроза объектам безопасности, исходящая от внутренних и внешних источников опасности, определяет содержание деятельности по обеспечению внутренней и внешней безопасности.

Статья 4. Обеспечение безопасности: Безопасность достигается проведением единой государственной политики в области обеспечения безопасности, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.

Для создания и поддержания необходимого уровня защищенности объектов безопасности в Российской Федерации разрабатывается система правовых норм, регулирующих отношения в сфере безопасности, определяются основные направления деятельности органов государственной власти и управления в данной области, формируются или преобразуются органы обеспечения безопасности и механизм контроля и надзора за их деятельностью.

Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности.

Статья 5. Принципы обеспечения безопасности: Основными принципами обеспечения безопасности являются:

· Законность;

· Соблюдение баланса жизненно важных интересов личности, общества и государства;

· Взаимная ответственность личности, общества и государства по обеспечению безопасности;

· Интеграция с международными системами безопасности.

Статья 6. Законодательные основы обеспечения безопасности: Законодательные основы обеспечения безопасности составляют Конституция РСФСР, настоящий Закон, законы и другие нормативные акты Российской Федерации, регулирующие отношения в области безопасности; конституции, законы, иные нормативные акты республик в составе Российской Федерации и нормативные акты органов государственной власти и управления краев, областей, автономной области и автономных округов, принятые в пределах их компетенции в данной сфере; международные договоры и соглашения, заключенные или признанные Российской Федерацией.

Статья 7. Соблюдение прав и свобод граждан при обеспечении безопасности:При обеспечении безопасности не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом.

Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки.

Статья 8. Основные элементы системы безопасности: Систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламентирующее отношения в сфере безопасности.

Создание органов обеспечения безопасности, не установленных законом Российской Федерации, не допускается.

Статья 9. Основные функции системы безопасности: Основными функциями системы безопасности являются:

· Выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

· Создание и поддержание в готовности сил и средств обеспечения безопасности;

· Управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;

· Осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;

· Участие в мероприятиях по обеспечению безопасности за пределами российской федерации в соответствии с международными договорами и соглашениями, заключенными или признанными Российской Федерацией.

Статья 11. Руководство государственными органами обеспечения безопасности: Общее руководство государственными органами обеспечения безопасности осуществляет Президент Российской Федерации.

Основным документом характеризующим состояние информационной безопасности (И Б), а так же регламентирующим цели и задачи в этой сфере является Доктрина информационной безопасности Российской Федерации утвержденная Президентом РФ от 9 сентября 2000г.

Доктрина информационной безопасности представляет собой совокупность взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

В доктрине информационной безопасности Российской Федерации выделены национальные интересы РФ в этой сфере. Согласно Доктрине информационной безопасности РФ выделяются четыре основные составляющие национальных интересов в информационной сфере (рис.11).

Первая составляющая национальных интересов в информационной сфере включает в себя соблюдение конституционных прав и свобод гражданина Российской федерации в области получения информации и пользования ею.

Для достижения этого требуется:

· Обеспечить права гражданин РФ свободно искать, получать, передавать, производить, и распространять информацию любимы законными способами ;

· Обеспечить права человека и гражданина на личную тайну, в том числе тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и доброго имени;

· Обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;

· Обеспечить запрет сбора, хранения, распространения любой информации, доступ к которой ограничен федеральным законодательством.

Вторая составляющая национальных интересов в информационной сфере это информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности информации о государственной политике РФ.

Третья составляющая национальных интересов в информационной сфере включает в себя: развитие в РФ современных информационных технологий; развитие отечественной индустрии информации, информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных систем на территории России.

Рис.11

Исходя из национальных интересов определяется общая направленность, виды, угроз информационной безопасности РФ (схема аналогична рис. 11).

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.

...