Организационно-правовое обеспечение защиты информации

Особо важное значение имеет проблема подписи при передаче сообщений  по телекоммуникационным сетям. При этом потенциально возможными являются следующие злонамеренные действия: отказ, когда абонент-отправитель по прошествии времени отказывается от переданного сообщения; фальсификация, когда абонент-получатель подделывает сообщение; изменение когда абонент-получатель вносит изменения в сообщение; маскировка, когда абонент-отправитель маскируется под другого абонента. В этих условиях обеспечение защиты каждой из сторон, участвующих в обмене, осуществляется с помощью ведения специальных протоколов. Для верификации сообщения протокол должен содержать следующие обязательные положения:

• отправитель вносит в передаваемое сообщение свою цифровую подпись, представляющую собой дополнительную информацию, зависящую от передаваемых данных, имени получателя сообщения и некоторой закрытой информации, которой обладает только отправитель;
• получатель должен иметь возможность удостовериться, что полученная в составе сообщения подпись есть правильная подпись отправителя;
• получение правильной подписи отправителя возможно только при использовании закрытой информации, которой обладает отправитель;
• для исключения возможности повторного использования устаревших сообщений подпись должна зависеть от времени.

Юридические аспекты. Правовое обеспечение защиты информации охватывает отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, при создании и использовании информационных технологий и средств их обеспечения, при защите прав субъектов, участвующих в информационных процессах и информатизации. Основой построения концепции правового обеспечения является подразделение всех информационных ресурсов на категории открытого и ограниченного доступа, причем информация ограниченного доступа по условиям ее правового режима в свою очередь подразделяется на отнесенную к государственной тайне и конфиденциальную.

В системе правового обеспечения  безопасности информации вид-нос место  занимает правоохранительное законодательство, включающее нормы об ответственности  за нарушения в области информатизации и логически завершающее комплекс организационно-правовых и технических мер и средств зашиты информации и систем ее обработки. Оно должно быть направлено не только и не столько на наказание за преступные посягательства на информацию и информационные системы скот ко на их предупреждение.

В целях комплексного подхода к  формированию законодательства по проблемам  информации и информатизации в России в апреле 1992 г. была утверждена "Программа подготовки законодательного и нормативного обеспечения работ в области информатизации". В соответствии с этой Программой была намечена разработка базового Закона Российской Федерации "Об информации, информатизации и защите информации", а также специальных законов "О государственной тайне", "О коммерческой тайне", "Об ответственности за злоупотребления при работе с информацией" и др.

Базовый Закон "Об информации, информатизации и защите информации" занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике Росс ни.

определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

закрепляет права граждан, организаций, государства на информацию;

устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов к информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом порядка правовой зашиты информации;

развивает правовой режим признания за документами, полученными из автоматизированной информационной системы, юридической  силы, в том числе на основе подтверждения  электронной цифровой подписью;

определяет информационные ресурсы как элемент состава имущества и объект права собственности;

устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно технической. производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

разграничивает  права собственности и права  авторства на информационные системы, технологии и средства их обеспечения;

устанавливает правила  и общие требования ответственности  за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена  специальная глава, посвященная  защите информации. В этой главе устанавливается, что защите подлежит вся документированная   информация,  обращение  с   которой   может  нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается:

в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

в отношении конфиденциальной документированной  информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

в отношении персональных данных - отдельным федеральным законом.

 

На официальном уровне государственная  система защиты информации в России была сформирована в 1973 г. в рамках действия государственной комиссии СССР по противодействию иностранным техническим разведкам. Начиная с 1992 г., проблемы информационной безопасности в новых экономических и правовых условиях вышли из круга оборонной тематики и обусловили тем самым создание в общегосударственном масштабе более совершенной системы информационной безопасности. Создание такой системы, прежде всего, потребовало разработать необходимую нормативно-правовую базу: Концепцию национальной безопасности Российской Федерации, Доктрину информационной безопасности Российской Федерации и ряд других документов.

Стратегия национальной безопасности Российской Федерации

Указом Президента от 12 мая 2009 г. № 537 утверждена Стратегия национальной безопасности Российской Федерации (Стратегия) до 2020 года.

В связи с этим признана утратившей силу прежняя Концепция национальной безопасности Российской Федерации, утвержденная в декабре 1997 г. и модифицированная в январе 2000 г.

Стратегия национальной безопасности - это система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в экономической, политической, социальной, международной, духовной, информационной, военной, оборонно-промышленной, экологической сферах, а также в сфере науки и образования.

Национальные интересы России в  информационной сфере заключаются  в соблюдении конституционных нрав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Состояние отечественной экономики, несовершенство системы организации государственной власти и гражданского общества, социально-политическая поляризация общества и криминализация общественных отношений, рост организованной преступности и увеличение масштабов терроризма, обострение межнациональных и осложнение международных отношений создают широкий спектр внутренних и внешних угроз национальной безопасности нашей страны.

Угрозы национальной безопасности Российской Федерации в информационной сфере проявляются в стремлении ряда стран к доминированию в мировом пространстве, вытеснению с внешнего и внутреннего информационного рынка; в разработке рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; в нарушении нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов путем получения несанкционированного доступа к ним.

В ходе реализации настоящей Стратегии  угрозы информационной безопасности предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

Важнейшими задачами в области  обеспечения информационной безопасности Российской Федерации являются:

- реализация конституционных прав  и свобод граждан Российской  Федерации в сфере информационной деятельности;

-  совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

-  противодействие угрозе развязывания  противоборства в информационной сфере.

Для этого России потребуется:

-  преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности;

-  разработать и внедрить  технологии информационной безопасности  в системах государственного  и военного управления, системах управления экологически опасными производствами и критически важными объектами;

-  обеспечить условия для  гармонизации национальной информационной  инфраструктуры с глобальными  информационными сетями и системами.

Реализация Стратегии национальной безопасности Российской Федерации до 2020 года призвана стать мобилизующим фактором развития национальной экономики, улучшения качества жизни населения, обеспечения политической стабильности в обществе, укрепления национальной обороны, государственной безопасности и правопорядка, повышения конкурентоспособности и международного престижа РФ.

Доктрина информационной безопасности Российской Федерации

Доктрина информационной безопасности РФ (Доктрина) утверждена Указом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности и служит основой для:

-  формирования государственной  политики в области обеспечения  информационной безопасности Российской Федерации;

-  подготовки предложений по  совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;

-  разработки целевых программ  обеспечения информационной безопасности Российской Федерации.

1. Информационная безопасность  РФ (виды и источники угроз  ИБ РФ, состояние ИБ РФ и  основные задачи по ее обеспечению);

2.  Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ  в различных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);

3.  Основные положения государственной  политики обеспечения ИБ РФ (первоочередные  мероприятия по реализации государственной  политики безопасности в РФ);

4.  Организационная основа обеспечения  ИБ РФ (основные функции систем обеспечения ИБ РФ. основные элементы организационной основы систем обеспечения ИБ РФ).

2.3. Закон «О государственной  тайне»

В основу законов, позволяющих отнести  информацию к тому или иному разряду  тайн, положены принципы информационного суверенитета и международные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне» [19].

Основные понятия

Государственная тайна  — защищаемые государственные сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации.

Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сигналов, технических решений и процессов.

Гриф секретности —  реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.