Организационно-правовое обеспечение защиты информации

ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

Общее содержание организационно-правового  обеспечения

Вопросы защиты информационных ресурсов самым тесным образом связаны  не только с решением научно-технических  проблем, но и с вопросами правового  регулирования отношений в процесс с информатизации. Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию.

Такая постановка вопроса приобретает  особый смысл и характер в условиях демократизации общества, формирования рыночной экономики, включения нашего государства в мировое экономическое  сообщество. Если решение вопросов развития производственной базы создания средств информатики в какой-то мере можно осуществить с использованием рыночных структур и отношений, то разработка и внедрение законодательной базы информатизации невозможны без активной государственной информационной политики, направленной на построение по единому замыслу организационно-правового механизма управления информационными процессами» увязанного с научно-технической базой информатизации.

Организационно-правовое обеспечение  является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд принципиальных специфических особенностей, обусловленных следующими обстоятельствами:

• представлением информации в непривычной и неудобочитаемой для человека двоичной форме;
• использованием носителей информации, записи на которых недоступны для простого визуального просмотри
• возможностью многократного копирования информации без оставления каких-либо следов;
• легкостью изменения любых элементов информации без оставления следов типа подчисток-, исправления и т.п.;
• невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;
• наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

• организационно-правовая основа защиты информации в АС;
• технико-математические аспекты организационно-правового обеспечения;
• юридические аспекты организационно-правового обеспечения защиты.

Из практических соображений ясно, что организационно-правовая основа защиты информации должна включать:

• определение подразделений и лиц, ответственных за организацию защиты информации;
• нормативно-правовые, руководящие и методические материалы (документы) по защите информации;
• меры ответственности за нарушение правил защиты;
• порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами  организационно-правового обеспечения  понимается совокупность технических  средств, математических методов, моделей, алгоритмов и программ, с помощью  которых ь АС могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

• фиксация на документе персональных идентификаторов ("подписей") лиц, изготовивших документ и (или) несущих ответственность за него;
• фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;
• невозможность незаметного (без оставления следов) изменения содержания информации даже липами, имеющими санкции на доступ к ней,
• т.е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;
• фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового  обеспечения защиты информации в  АС понимается совокупность законов  и других нормативно-правовых актов, с помощью которых достигаются  следующие цели;

• устанавливается обязательность соблюдения всеми лицами, имеющими отношение к АС всех правил защиты информации;
• узакониваются меры ответственности за нарушение правил защиты;
• узакониваются (приобретаю! юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;
• узакониваются процессуальные процедуры разрешения ситуаций. складывающихся в процесс: функционирования систем защиты.

Таким образом, вся совокупность вопросов, возникающих при решении проблем  организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рис.1.

Анализ зарубежного  и отечественного опыта организационно-правового обеспечения защиты информации

В ведущих зарубежных странах к  настоящему времени накоплен значительный опыт решения обсуждаемых здесь  проблем. Существенным при этом является разносторонность разрабатываемых  и применяемых мер, которые не сводятся к одним только нормативным и правовым актам, хотя их значение и является превалирующим. С этой точки зрения можно выделить следующие аспекты решения вопросов организационно-правового обеспечения зашиты информации:

• информирование широких масс населения и заинтересованны[  специалистов о существе проблемы защиты информации, необходимости и путях се решения;
• выработка единообразия в определении и интерпретации основных понятий, относящихся к проблеме защиты;
• развитие технико-математических основ, необходимых для решения вопросов организационно-правового обеспечения защиты информации;
• разработка и утверждение стандартов в области защиты информации; - создание законодательной основы, необходимой для обеспечения зашиты информации.

Рассмотрим более подробно суть выделенных аспектов.

Информирование о существе проблемы защиты, необходимости и  путях ее решения. В зарубежной печати (особенно в США) вопросы обеспечения безопасности информации в информационно-вычислительных системах и сетях освещаются давно, интенсивно и широкомасштабно. Достаточно сказать, что первые публикации по рассматриваемым проблемам появились около *0 пел тому назад они стали уже историей ?• общее их число в настоящее время измеряется тысячами. Ежегодно проводятся специализированные конференции и семинары, на которых обсуждаются различные теорез ические и практические вопросы защиты информации. В программы подготовки всех специалистов по вычислительной технике и ее использованию непременно входят разделы, относящиеся к защите информации-

Следует отметить, что зарубежные публикации сыграли заметную роль в информировании и отечественных специалистов о существе проблемы и путях ее решения, особенно если учесть, что у нас до недавнего времени все работы по защите информации были закрытыми. Среди зарубежных работ последнего времени выделяется монография "Защита вычислительных машин и сетей. Стратегия 90-х годов". Иными словами, это не просто очередная публикация, а программно-перспективная разработка.

Знакомство с указанной книгой дает достаточные основания для ряда важных выводов, а именно: во-первых, зарубежные специалисты относят проблему защиты информации в вычислительных системах и сетях к числу наиболее актуальных проблем развития и эффективного использования вычислительной техники, во-вторых, зарубежные специалисты относят проблему защиты к числу комплексных и многоаспектных проблем; в-третьих, зарубежные специалисты не удовлетворены нынешним состоянием решения рассматриваемой проблемы, причем наиболее важными направлениями работ на 90-е годы признаются работы системно-организующего плана.

Если говорить об отечественных  публикациях в области защиты информации, то начало им было положено серией статей в журнале "Зарубежная радиоэлектроника" за 1975-1976 гт. Статьи носили обзорный характер (по данным зарубежной печати), были объединены тематически и давали общее представление о всей совокупности проблем защиты информации и о подходах к их решению. Они вызвали большой резонанс в среде специалистов и сыграли роль детонатора, инициировав существенное повышение интереса к проблеме, ее исследованиям и разработкам. Появились публикации монографического характера и специализированные журналы.

Выработка единообразия в терминологии по проблемам защиты.

При решении любой новой проблемы первостепенное значение имеет обеспечение терминологического единства, т.е. формирование возможно более полного перечня терминов, необходимых для отображения всех основных аспектов проблемы, их определение и интерпретация с тем, чтобы обеспечивалось однозначное понимание каждого из терминов. О сложности и трудоемкости этой проблемы говорит хотя бы тот факт, что у нас в стране данная работа до настоящего времени в полном объеме не выполнена. Необходимо обратить внимание читателей на словарь терминов, подготовленный и изданный в США еще в 1987 г.. В словаре объемом 428 с. содержится около 3000 терминов Несомненным достоинством словаря является также то, что наиболее важные термины не просто определены, а достаточно подробно истолкованы и иллюстрированы схемами и рисунками.

Наличие словаря терминов создает предпосылки для целенаправленного развития всех работ по защите информации, поэтому создание и широкое распространение подобного словаря в России является одной из основных организационных предпосылок реализации системы управления зашитой информации.

Развитие технико-математических основ, необходимых для решения  вопросов организационно-правового обеспечения защиты информации. Как и следует из рис.1, центральной задачей создания технико-математической базы является разработка эффективных и надежных методов фиксации в памяти ЭВМ такого аналога подписи человека, который, с одной стороны, сравнительно легко мог бы быть реализован современными средствами вычислительной техники, а с другой - выполнял бы все основные функции собственноручной росписи. К настоящему времени практически всеми специалистами признано, что наиболее обнадеживающим путем решения данной задачи является использование специальных методов криптографического преобразования информации, которые чаще всего называют системами цифровой подписи.

Анализируя развитие указанных  работ за рубежом, уместным будет  отметить, что в ведущих странах, (и особенно в США) работы в области  криптографии, предназначенной для  всеобщего применения (т.е. не для  специальных целей) и удовлетворения всеобщего интереса, ведутся давно и весьма интенсивно. Для подтверждения сказанного приведем хотя бы тот факт, что списки литературы, прилагаемые к журнальным статьям по этой проблеме, нередко содержат до 150 названий совершенно открытых источников. Российские читатели могут составить достаточно объективное представление о характере и уровне разработок по переводу на русский язык тематического выпуска трудов института инженеров по электротехнике и радиоэлектронике.

Из сказанного однозначно вытекает важность и необходимость всемерного развития работ по созданию технико-математических основ организационного обеспечения защиты информации, причем на сегодняшний день особенно для систем коммерческого применения.

Разработка и утверждение  стандартов в области защиты информации. И за рубежом, и у нас в стране этому вопросу уделяется большее внимание Широко известен, например, национальный стандарт США криптографического закрытия информации DES. Причем здесь в качестве стандарта утвержден не только сам алгоритм шифрования, но также средства его реализации и способы использования. Вопросами стандартизации в области защиты данных занимается целый ряд различных организаций США и европейских стран, а для рассмотрения разработанных стандартов создан специальный подкомитет ТС/8С20 Международной организации по стандартизации.