Введение

Защита информации в Российской Федерации

Законодательная база, регулирующая отношения в сфере информационной безопасности

Информационное законодательство - основной источник информационного права

Правовые проблемы информационной безопасности

Заключение

Список литературы

Введение

В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.

Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, возможно, увидеть пробелы в законодательстве и предложить пути их решения.

Исходя из целей, были поставлены следующие задачи:

изучить понятие информационной безопасности;

рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности;

отразить степень соответствия существующих норм реально имеющимся отношениям;

сформулировать свои предложения по совершенствованию законодательства.

1. Защита информации в Российской Федерации

В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:

Информация - это:

) сведения об окружающем мире и протекающих в нем процессах;

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения. На этом фоне все более актуальный характер приобретает в последние десятилетия и особенно в настоящее время задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания (в частности разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

В настоящее время большие изменения происходят в методологии защиты информации. Осуществляется переход от дорогостоящего скрытия заведомо завышенного объема данных к гарантированной защите принципиально важных, «узловых точек».

2. Законодательная база, регулирующая отношения в сфере информационной безопасности

Государственная политика в Российской Федерации по обеспечению информационной безопасности реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Методические указания.

За последние годы российское законодательство существенно обновилось. Особенно это коснулось тех сфер правового регулирования, где приняты кодифицированные акты, в том числе Гражданский, Налоговый, Бюджетный, Семейный, Уголовный, Водный и Лесной, Земельный, Трудовой, Гражданский процессуальный и Уголовно-процессуальный кодексы, Кодекс об административных правонарушениях. С их принятием появились реальные условия для проведения полноценной систематизации законодательства и издания Свода законов России.

При формировании законодательства в информационной сфере в самостоятельную отрасль, формирующееся законодательство в сфере обеспечения информационной безопасности является подотраслью информационного законодательства, а при его кодификации в случае принятия Информационного кодекса Российской Федерации может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы.

. Информационное законодательство - основной источник информационного права

Вопросы, связанные с информационным законодательством требуют отражения внимания государства к ряду направлений деятельности в области информатизации. Можно отметить из них наиболее очевидные.

Формирование информационных ресурсов и развитие информационной деятельности - деятельности, непосредственно связанной со сбором, хранением, обработкой, передачей информации в самых разных организационных формах (документированная, звуковая, световая, цифровая и т.п.); деятельности по созданию средств обработки информации в электронном виде - создание программ, программного обеспечения и иных средств работы с информацией и ее транспортировкой (коммуникацией) по каналам связи, сетям в соответствии с типами организации информационных систем и сетей на основе современных технических и технологических достижений; управление качеством информационных технологий (достоверность, полнота, неуязвимость передаваемой информации и создание средств ее защиты в системах информационной безопасности); организация рынка информационных технологий. Все эти направления могут быть объединены в блок формирования специальной отрасли информатики, объединяющей проблемы создания, производства и использования средств информатизации, информационных технологий в широком понимании.

Вторым крупным блоком в системе государственного управления является деятельность по организации применения средств информатизации и информационных ресурсов в самых разных сферах социального развития.

Здесь сосредоточены проблемы информатизации экономики, экологии, здравоохранения, любых отраслей производства, науки, образования, культурно-просветительской деятельности, формирования и использования соответствующих видов и форм информационных ресурсов. Сюда же входят проблемы региональной и отраслевой информатизации и формирование специальных отраслей государственного управления в данной сфере.

Это направление охватывает процессы информатизации деятельности органов государственной власти и местного самоуправления и их взаимодействия. Деятельность органов государственной власти - законодательных, исполнительных, правоохранительных - только и может быть продуктивной и эффективной при условии применения информационных технологий в работе аппарата каждого органа и в системе взаимодействия различных органов между собой.

Четвертый блок в сфере государственного управления в области информационных технологий составляет деятельность каждого из ведомств и государственных организаций, которые самостоятельно и с учетом своих потребностей обеспечивают процессы информационного обеспечения своей деятельности. При отсутствии должной координации на уровне федерации это направление деятельности подвержено местничеству и заканчивается неоправданной тратой средств, несовместимостью средств информатизации, в том числе и информационных технологий в едином пространстве страны.

Поддержка процессов информатизации во всех секторах хозяйства и культуры страны, во всех сферах социального развития и жизнеобеспечения; привлечение населения к новым методам работы с информацией на основе воспитания информационной культуры, переподготовки кадров и массового обучения молодого поколения работе в новых условиях. Здесь сосредоточены организационно-правовые проблемы обеспечения реализации права на информацию различных субъектов, разрешение конфликтов в области формирования и использования информационных технологий.

Все обозначенные направления государственного управления в области информационных технологий реализуются на основе создания и применения соответствующих законов и иных правовых актов, введения обязательных государственных стандартов, методик и правил.

4. Правовые проблемы информационной безопасности

Законом РФ «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства.

Можно выделить три основных направления правового обеспечения информационной безопасности.

Первое направление. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.

Второе направление. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

Третье направление. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации; права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.

Режим защиты информации устанавливается:

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;

в отношении персональных данных.

В целом вопросы этого направления правового обеспечения информационной безопасности условно разделяются на защиту открытой информации и защиту информации ограниченного доступа.

Защита открытой информации осуществляется нормами института документированной информации. Защита информации ограниченного доступа регулируются нормами: института государственной тайны, института коммерческой тайны, института персональных данных, а также нормами защиты других видов тайн.

Объекты правоотношений в области информационной безопасности - это духовность, нравственность и интеллектуальность личности и общества, права и свободы личности в информационной сфере; демократический строй, знания и духовные ценности общества; конституционный строй, суверенитет и территориальная целостность государства.

Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, граждане.

Ответственность за правонарушения в информационной сфере устанавливается гражданско-правовая, административно-правовая, уголовно-правовая ответственность.

Основной проблемой в сфере информационной безопасности является отсутствие на настоящий момент кодифицированного законодательного свода, объединившего бы в себе все разбросанные по российскому законодательству статьи, посвященные информационной безопасности и информационному праву в целом, как отрасли права.

Заключение

информационная безопасность законодательный правовой

Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и др.

Правовая наука пока не может остановиться на какой-либо определенной модели в области регулирования и защиты интеллектуальной собственности и особенно исключительных прав создателей информационного и технологического продукта. Тем не менее, закон должен откликаться на коллизии в этой среде. Важное направление работы и области создания адекватной инфраструктуры в сфере информатики формируется вокруг создания и использования таких объектов, как информационные технологии и вычислительная техника.

Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.

Внедрение современных технологий и законодательная основа защиты информации должна стать мощным звеном в укреплении вертикали власти в России и ее становлении как экономически и политически сильного государства на мировой арене.

Список литературы

1.Конституция Российской Федерации принята всенародным голосованием 12.12.1993 г.

Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ (ред. от 08.12.2011)

Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»

4.Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информации в информационных системах. М. 2007.

6.Ожегов С.И. Словарь русского языка. М., 1978.

Информационная безопасность. Курс лекций Артемов А. В.

Вопрос 1. Состояние вопросов обеспечения информационной безопасности

В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.

В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах (http://www.cnews.ru/education) позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.

Из книги Информационная безопасность человека и общества: учебное пособие автора Петров Сергей Викторович

2.3. Место информационной безопасности в системе национальной безопасности России В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей

Из книги Засады, подставы и другие хитрости инспекторов ГИБДД автора Кузьмин Сергей

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской

Из книги Сертификация сложных технических систем автора Смирнов Владимир

4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

Из книги Информационная безопасность. Курс лекций автора Артемов А. В.

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

Из книги автора

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

Из книги автора

7.6. Методы и средства информационной поддержки систем обеспечения качества

Из книги автора

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Из книги автора

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Из книги автора

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Из книги автора

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Из книги автора

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Из книги автора

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Из книги автора

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Из книги автора

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Из книги автора

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Из книги автора

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

б) изложение целей и принципов информационной безопасности, сформулированных руко водством;

в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

1) соответствие законодательным требованиям и договорным обязательствам;

2) требования в отношении обучения вопросам безопасности;

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

4) управление непрерывностью бизнеса;

5) ответственность за нарушения политики безопасности;

г) определение общих и конкретных обязанностей сотрудников в рамках управления инфор мационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи,

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

3.1.2 Пересмотр и оценка

Необходимо, чтобы в организации назначалось ответственное за политику безопасности должност­ ное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процеду­ рой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:

- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

- определение стоимости мероприятий по управлению информационной безопасностью и их влия­ ние на эффективность бизнеса;

- оценку влияния изменений в технологиях.

4 Организационные вопросы безопасности

4.1 Организационная инфраструктура информационной безопасности

Цель: управление информационной безопасностью в организации.

Структуру управления следует создавать так, чтобы она способствовала инициации и осуществле­ нию контроля за внедрением информационной безопасности в организации,

Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управ­ лению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.

Обеспечение информационной безопасности - это ответственность высшего руководства орга­ низации, разделяемая всеми ее членами, Поэтому при формировании совета по вопросам информаци­ онной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безо­ пасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции:

- утверждение и пересмотр политики информационной безопасности и соответствующих обязан­ ностей по ее выполнению;

- отслеживание существенных изменений в воздействиях основных угроз информационным акти­

- анализ и мониторинг инцидентов нарушения информационной безопасности;

- утверждение основных проектов в области информационной безопасности.

Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью.

4.1.2 Координация вопросов информационной безопасности

Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руково­ дства заинтересованных подразделений организации.

Как правило, такой комитет:

- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

- согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

- согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осве­ домленности сотрудников в области безопасности;

- обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;

- оценивает адекватность и координирует внедрение конкретных мероприятий по управлению информационной безопасностью для новых систем или услуг;

- проводит анализ инцидентов нарушения информационной безопасности;

- способствует демонстрации поддержки информационной безопасности со стороны высшего руководства организации.

4.1.3 Распределение обязанностей по обеспечению информационной безопасности

Следует определить обязанности по защите отдельных активов и по выполнению конкретных про­

цедур, связанных с информационной безопасностью.

Политика информационной безопасности (раздел 3 ) должна устанавливать общие принципы и правила распределения функций и обязанностей, связанных с обеспечением информационной безо­ пасности в организации. Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг, Кроме этого, должна быть четко определена конкретная ответственность в отношении отдельных материальных и информационных активов и процессов, свя­ занных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.

Во многих организациях на руководителя службы информационной безопасности возлагается общая ответственность за разработку и внедрение системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью.

В то же время ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в большинстве случаев возлагается на руководителей среднего звена. Общепринятой практикой является назначение ответственного лица (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обес­ печение безопасности данного актива.

Администратор информационных активов может передавать свои полномочия по обеспечению безопасности какому-либо руководителю среднего звена или поставщикам услуг, Тем не менее, адми­ нистратор остается ответственным за обеспечение безопасности актива и должен быть в состоянии определить, что любые переданные полномочия реализуются должным образом.

Следует устанавливать границы ответственности каждого руководителя и выполнять следующие правила:

- различные активы и процессы (процедуры) безопасности, связанные с каждой отдельной систе­ мой, должны быть выделены и четко определены;

- необходимо назначить ответственных (администраторов) за каждый актив или процедуру безо­ пасности, и детали этой ответственности должны быть документированы;

4.1.4 Процесс получения разрешения на использование средств обработки информации

Необходимо определить процедуры получения разрешения на использование новых средств обработки информации.

При этом могут осуществляться следующие мероприятия по управлению информационной безо­ пасностью:

- новые средства должны быть соответствующим образом одобрены со стороны руководства пользователей и администраторов средств управления, авторизующих их цель использования. Одобре­ ние следует также получать от менеджера, ответственного за поддержание среды безопасности локаль­ ной информационной системы, чтобы обеспечить уверенность в том, что все соответствующие политики безопасности и требования соблюдены;

- аппаратные средства и программное обеспечение следует проверять на совместимость с другими компонентами системы.

Примечания 1 Одобрение может потребоваться для соединений некоторых типов.

2 Использование личных средств обработки информации для обработки служебной информации и любых необходимых мероприятий по управлению информационной безопасностью должно быть авторизовано.

3 Использование личных средств обработки информации на рабочем месте может быть причиной новых уязвимостей и, следовательно, должно быть оценено и авторизовано.

Эти мероприятия по управлению информационной безопасностью особенно важны в сетевой среде.

4.1.5 Консультации специалистов по вопросам информационной безопасности

Консультации специалистов по вопросам безопасности требуются многим организациям. В идеале, их должен обеспечивать опытный консультант по информационной безопасности, являющийся сотрудником организации. Но не все организации могут иметь в своем штате профессионала-консуль­ танта. В таких случаях рекомендуется назначение выделенного сотрудника (администратора) для обоб­ щения знаний и опыта внутри организации с целью обеспечения согласованности и поддержки в принятии решений по безопасности. Этот сотрудник должен также иметь доступ к необходимым внешним консультантам для получения профессиональных консультаций по вопросам, выходящим за рамки его собственной компетенции.

Перед консультантами по информационной безопасности или администраторами должна быть поставлена задача по обеспечению консультаций по всем аспектам информационной безопасности, в том числе и с привлечением внешних консультантов. От качества их оценки угроз безопасности и разработки рекомендаций относительно мероприятий по управлению информационной безопасностью существенным образом зависит ее эффективность в организации. Для обеспечения максимальной эффективности и результативности деятельности консультантов (администраторов) им должна быть предоставлена возможность непосредственного доступа к высшему руководству организации.

С консультантом по информационной безопасности или администратором следует советоваться, по возможности, незамедлительно, в случае подозрения на выявление инцидента нарушения информа­ ционной безопасности или уязвимости безопасности для обеспечения получения квалифицированного совета или выделения ресурсов. Несмотря на то, что большинство внутренних расследований в отноше­ нии безопасности обычно выполняют под контролем руководства, может быть целесообразным обра­ щение к консультанту (администратору) по информационной безопасности с целью разработки рекомендаций, а также его участия в расследовании или в его руководстве.

4.1.6 Сотрудничество между организациями в области информационной безопасности

Соответствующие контакты с органами, отвечающими за соблюдение законов, с регулирующими органами, поставщиками информационных услуг и операторами связи следует поддерживать для того, чтобы гарантировать, что и в случае нарушения информационной безопасности можно быстро предпри­ нять соответствующие действия и получить правильный совет. С аналогичной целью следует рассмат­ ривать участие в профессиональных сообществах и в отраслевых мероприятиях в области безопасности.

Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов.

Понятие информационной безопасности получило развитие в Доктрине информационной безопасности Российской Федерации (далее - Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В основу доктринального определения информационной безопасности положено родовое понятие безопасности как "состояния защищенности", закрепленное в Законе РФ "О безопасности". Доктринальная формула объекта защиты соответствует родовому объекту, идентифицированному в Законе РФ "О безопасности" как "жизненно важные интересы". Учитывая роль и значимость Доктрины, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в заданном этим документом направлении, хотя оно и наиболее проблемно, поскольку требует ответа на не найденный до сих пор несколькими поколениями ученых вопрос. Этот вопрос, коль скоро речь идет об объекте защиты, в качестве которого полагаются национальные интересы, определяющиеся совокупностью сбалансированных интересов личности, общества и государства, состоит в определении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда отвечает интересам общества в целом; и наоборот, то, что соответствует интересам всего общества, может явно противоречить интересу отдельного индивида.

Между тем в Доктрине предпринята попытка структурирования национальных интересов Российской Федерации в информационной сфере на основе их четырех составляющих.

Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей в обществе, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая национальных интересов содержит в себе информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике России, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов объединяет в себе развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

И наконец, четвертую составляющую национальных интересов образуют защита информационных ресурсов от несанкционированного доступа и обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Предполагается, что все четыре составляющие национальных интересов в информационной сфере могут, в свою очередь , рассматриваться как совокупность сбалансированных интересов личности, общества и государства. При этом интересы личности заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность . Интересы общества заключаются в обеспечении интересов личности в информационной сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные задачи по обеспечению информационной безопасности. На основе национальных интересов Российской Федерации в информационной сфере формируются задачи по обеспечению информационной безопасности. Характер данных задач определяется текущим состоянием сферы информационной безопасности с учетом наличия тех либо иных внешних и внутренних угроз конституционным правам и свободам человека и гражданина, интересам общества и государства.

В Доктрине определены следующие основные задачи по обеспечению информационной безопасности:

  • разработка основных направлений государственной политики в области обеспечения информационной безопасности России, а также мероприятий и механизмов, связанных с реализацией этой программы;
  • развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности России, а также системы противодействия этим угрозам;
  • разработка федеральных целевых программ обеспечения информационной безопасности России;
  • разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также сертификации этих систем и средств;
  • совершенствование нормативно-правовой базы обеспечения информационной безопасности России, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
  • установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
  • координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, организаций независимо от формы собственности в области обеспечения информационной безопасности России;
  • развитие научно-практических основ обеспечения информационной безопасности России с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";
  • разработка и создание механизмов формирования и реализации государственной информационной политики России;
  • разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
  • обеспечение технологической независимости России в важнейших областях информации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружений и военной техники;
  • разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
  • развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
  • создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
  • расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
  • обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
  • создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Представляется, что условием плодотворности решения указанных задач, как, впрочем, и любых иных, является перевод их в плоскость реальных установок, закрепленных нормативными средствами. Пока этого нет, задачи существуют сами по себе, будучи замкнутыми в системе официальных взглядов.

Методы обеспечения информационной безопасности. Методы обеспечения информационной безопасности делятся на общие и частные. Общие методы, в свою очередь , дифференцируются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности согласно Доктрине относятся разработка нормативных правовых актов, регламентирующих отношения в информационной сфере и нормативных методических документов по вопросам обеспечения информационной безопасности России. Основными направлениями этой деятельности, в частности, являются:

  • законодательное разграничение полномочий в области обеспечения информационной безопасности между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
  • разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
  • законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
  • определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории России, и правовое регулирование деятельности этих организаций;
  • создание правовой базы для формирования в России региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационно безопасности, в частности, являются:

  • создание и совершенствование системы обеспечения информационной безопасности России;
  • усиление правоприменительной деятельности органов исполнительной власти;
  • разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;
  • создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
  • выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;
  • сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
  • контроль за действиями персонала в защищенных информационных системах.

Экономические методы обеспечения информационной безопасности включают в себя:

  • разработку программ обеспечения информационной безопасности России и определение порядка их финансирования;
  • совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Частные методы обеспечения информационной безопасности России разделяются на методы, использование которых обусловлено спецификой различных сфер жизнедеятельности общества и государства. В каждой из этих сфер имеются свои особенности, связанные со своеобразием объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности. Доктрина не указывает прямо на конкретные частные методы, а оперирует объектами, наиболее подверженными воздействию угроз информационной безопасности, и мерами, которые следовало бы принять в сферах экономики, внутренней и внешней политики, науки и техники, духовной жизни, обороны, в общегосударственных информационных и телекоммуникационных системах, в правоохранительной и судебной сферах в условиях чрезвычайных ситуаций.

Составляющие информационной безопасности

В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

  • целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
  • конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

  • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

Рис. 7.1.

В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

  • от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
  • несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
  • разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
  • внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

Рис. 7.2.

Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

  • мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
  • управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
  • – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
  • – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
  • – рабочей станции (Data-in-Use);
  • – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
  • – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
  • – установления проактивной защиты и персональных сетевых экранов;
  • – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.