Современные концепции обеспечения информационной безопасности

СОВРЕМЕННЫЕ КОНЦЕПЦИИ  ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Проблема информационной безопасности особенно остро стоит  для России. С переходом к политике создания в России открытого общества и правового государства существенно  изменились условия обеспечения  защиты информации:

1. С развитием рыночных  отношений в экономике связано  с появлением множества государственных  и частных производителей и  потребителей информации, в том  числе и зарубежных.

2. Так как информация  стала открытым товаром, то  появилась реальная опасность  расхищения информационного ресурса  за счет снижения возможности  государства по контролю над  информационными потоками.

3. Ориентация на большую  кооперацию с зарубежными странами  при развитии в России систем  информационного обмена привела  к доступу в эти системы  зарубежных пользователей.

Ухудшение криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки в ближайшем будущем сохраниться. Отсюда вытекает необходимость определения и прогнозирования возможных угроз как основы для обоснования, выбора и реализации адекватных защитных мероприятий.

Возможны следующие угрозы информационным ресурсам:

1. ПРИРОДНЫЕ: Стихийные бедствия, Магнитные бури, Радиоактивное излучение и осадки.
2. ТЕХНИЧЕСКИЕ: Отключения или колебания электропитания и других средств обеспечения; Отказы и сбои аппаратно-программных средств; Электромагнитные излучения и наводки; Утечки через каналы связи (оптические, электрические, звуковые).
3. СОЗДАННЫЕ ЛЮДЬМИ: Непреднамеренные действия: (обслуживающего персонала, управленческого персонала, программистов, пользователей АС, архивной службы, службы безопасности.).

Преднамеренные действия: (обслуживающего персонала, управленческого  персонала, программистов, пользователей  АС, архивной службы, службы безопасности, несанкционированных пользователей).

УГРОЗА - потенциально возможное или реальное действие злоумышленников, способное нанести моральный или материальный ущерб. Угрозы безопасности фирмы: - внутренние, - внешние.

1. ПО ОТНОШЕНИЮ К ПЕРСОНАЛУ Моральные и физические страдания: (убийства; похищения и угрозы; похищения сотрудников, членов их семей и близких родственников;  психологический террор, угрозы, запугивания, шантаж и вымогательство).
2. МАТЕРИАЛЬНЫМ РЕСУРСАМ Повреждения зданий, помещений, квартир, дач, гаражей и другого недвижимого имущества. Кража, угон и уничтожение транспортных средств.
3. ФИНАНСАМ Кража финансовых средств и ценностей. Мошенничество с финансовыми средствами. Фальсификация валюты и финансовых документов.
4. ИНФОРМАЦИИ. Ознакомление с охраняемыми сведениями. Модификация информации с криминальными целями. Уничтожение информации с целью нанесения морального и материального ущерба.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ - это нормативно-правовые категории, определяющие комплексные меры защиты интересов предприятия.

ВИДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ:

1. ПРАВОВОЕ. Применение правовых норм обеспечения безопасности. Международное право (Патенты, Авторское, Лицензия) Государственное право (Конституция, Законы, Подзаконные акты, Кодексы, Положения, Инструкции, Указы, Приказы)
2. ОРГАНИЗАЦИОННОЕ. Регламентация производственной деятельности на нормативно-правовой основе, исключающая нанесение ущерба. (Подбор и расстановка кадров, Режим и охрана, Обеспечение сохранения конфиденциальной информации).
3. ИНЖЕНЕРНО-ТЕХНИЧЕСКОЕ. Использование технических средств, препятствующих нанесению ущерба. (Физические средства, Аппаратные средства, Программные средства, Математические право (криптографические) методы.)

2.1. Законодательная  база в области информационной  безопасности

Общепризнанным является факт возрастания роли информационной безопасности в общей системе  национальной безопасности. При этом под информационной безопасностью понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства». Концепция национальной безопасности РФ, изложенная в Указе Президента РФ от 17.12.97г. №1300, претерпела значительные изменения. Указом Президента РФ № 24 от 10.01.2000г. «О концепции национальной безопасности РФ» в нее были внесены поправки и дополнения.

В связи с этим определены задачи обеспечения национальной безопасности:

- защита интеллектуальной  собственности внутри страны  и за рубежом, развитие общедоступной  сети научно-технической и коммерческой  информации;

- реализация конституционных  прав и свобод граждан РФ  в сфере информационной деятельности;

- интеграция в мировое  информационное пространство;

- противодействие угрозе  развязывания противоборства в  информационной сфере.

Информационное  законодательство – это совокупность норм права, регулирующих общественные отношения в информационной сфере.

Предметом правового регулирования  в информационной сфере являются:

- создание и распространение  информации;

- формирование информационных  ресурсов;

- реализация права на  поиск, получение, передачу и  потребление информации;

- создание и применение  информационных систем и технологий;

- создание и применение  средств информационной безопасности.

В основе информационного  законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом - разрешено).

В настоящее время в  стране действуют следующие нормативные  акты, регулирующие отношения в информационной сфере.

1. Конституция РФ.
2. Федеральные законы:

1. Гражданский кодекс РФ;

2. Уголовный кодекс РФ;
3. Уголовно-процессуальный кодекс РФ;
4. Кодекс РСФСР об административных правонарушениях;
5. Закон «Об информации, информатизации и защите информации» и др. (всего около 80 законов);

3. Указы и Распоряжения Президента РФ;

4. Постановления Правительства РФ;
5. другие подзаконные акты: местные, ведомственные и внутриорганизационные.

Совокупность вышеперечисленных  документов составляет правовую базу, обеспечивающую нормативное регулирование  процессов информационного обмена, в том числе и защиту информации.

2. 2. Защита  государственной тайны

Система защиты государственных  секретов основывается на Законе РФ «О государственной тайне» № 5485-1 от 21.07.93г., регулирующем “...отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах безопасности РФ”.

Субъектами правоотношений в соответствии со ст.1 Закона являются органы государственного управления, а также любые юридические  лица, то есть предприятия, учреждения и организации, независимо от их организационно правовых форм деятельности и видов  собственности.

Действие закона распространяется лишь на тех граждан и должностных  лиц, которые взяли на себя обязательство  либо обязаны по своему статусу выполнять  требования законодательства о государственной  тайне. В соответствии со статьей 4 Закона РФ «О государственной тайне» Указом президента РФ от 30.11.95г. №1203 утвержден перечень сведений, отнесенных к государственной тайне. Согласно этому перечню к сведениям, представляющим государственную тайну, относят:

1. Информацию в военной области;
2. Информацию о внешнеполитической и внешнеэкономической деятельности;
3. Информацию в области экономики, науки и техники;
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

В сферах экономики, науки  и техники к государственной  тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах  защиты секретной информации;

- о государственных программах  и мероприятиях в области защиты  государственной тайны.

Постановлением Правительства  РФ №870 от 04.09.95г. утверждены правила, по которым определяется степень секретности  сведений, представляющих государственную  тайну. А Постановлением Правительства  РФ №170 от 20 02 95г установлен порядок  рассекречивания и продления  сроков засекречивания архивных документов.

Документы, содержащие государственную  тайну, подразделяются по степени секретности  и снабжаются грифом: “секретно”, “совершенно  секретно”, “особой важности”. Документы, не содержащие секретных сведений, но используемые при выполнении закрытых работ, имеют гриф ДСП “для служебного пользования”.

Порядок засекречивания сведений, составляющих государственную тайну, состоит в установлении трех принципов: законности, обоснованности и своевременности.

Принцип законности заключается в том, что закон содержит в статье 7 перечень сведений, не подлежащих засекречиванию. Не подлежат засекречиванию:

- состояние преступности  в стране; - привилегии и льготы гражданам, должностным лицам, предприятиям; - размер золотого запаса страны; - состояние здоровья высших должностных лиц.

Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, исходя из баланса жизненно важных интересов государства, общества и отдельных граждан.

Принцип своевременности состоит в том, что ограничения на распространение сведений должны быть установлены не позже их появления.

Лица, которые имеют право  решать вопросы по отнесению сведений к ГТ, определены распоряжением Президента РФ «О перечне должностных лиц  органов государственной власти, наделенных полномочиями по отнесению  сведений к государственной тайне». Данное распоряжение содержит утвержденный перечень из 36 должностных лиц.

Ответственность за организацию государственной тайны, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей.

За разглашение сведений, составляющих государственную тайну, при отсутствии признаков государственной  измены - наказываются арестом на срок от 4-х  до 6-ти месяцев, либо лишением свободы на срок до 4-х лет с  лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3-х лет  или без такового. То же деяние, повлекшее  тяжкие последствия - наказывается лишением свободы от 3-х до 7-ми лет с лишением права занимать определенные должности  на срок до 3-х лет.

Обязательное условие  при передаче сведений, составляющих ГТ: наличие на предприятии лицензии (на право деятельности), а у гражданина - соответствующего допуска.

Меры предупреждения нарушений режима защиты информации:

1. Правильный выбор и  расстановка кадров.

2. Ограничение доступа  к секретам.

3. Проведение воспитательной  работы.

4. Подписание соглашений  с работниками о неразглашении  секретных сведений.

5. Политика «чистых столов».

6. Создание службы безопасности  фирмы.

7. Использование технических  средств защиты.

8. Применение сертифицированных  программных и аппаратных средств  в информационных системах.

Коммерческая тайна  и ее защита. Понятие коммерческой тайны

В настоящее время в  РФ принимаются законодательные  акты, разграничивающие сведения ограниченного  доступа на государственную и коммерческую тайну.

Чем отличается коммерческая тайна от государственной?

Сведения, составляющие государственную  тайну, установлены соответствующим  перечнем и подлежат защите со стороны  государства. Коммерческая тайна этим перечнем не определена, поскольку  она всегда разная применительно  к различным предприятиям или  фирмам.

Другое отличие состоит  в том, что государственная тайна  охраняется силой государства в  лице соответствующих органов, а  коммерческая информация - службой  безопасности предприятия. Причем коммерческие секреты могут быть государственными секретами, но государственные секреты  не могут быть коммерческой тайной.

К коммерческой тайне относят  преднамеренно скрываемые по коммерческим соображениям экономические интересы и сведения о различных сторонах и сферах производственно-хозяйственной, управленческой, финансовой деятельности фирмы, охрана которых обусловлена  интересами и возможными угрозами экономической  безопасности фирмы. Перечень сведений, составляющих КТ, утверждается приказом директора фирмы.