
- •1. Особенности и характеристики информационной эпохи. Безопасность. Виды безопасности
- •1.1. Признаки информационной эпохи
- •1.2. Безопасность. Виды безопасности.
- •1.3. Информационная безопасность
- •1.4. Принципы формирования показателей информационной безопасности
- •Вопросы и задачи
- •2. Угрозы информационной безопасности
- •2.1. Информационные угрозы террористического характера
- •2.2. Информационные угрозы, нарушающие адекватность модели мира
- •2.3. Угрозы в алгоритмах обработки данных
- •2.4. Явные угрозы
- •2.5. Защита от явных угроз
- •2.6. Понятие скрытой угрозы
- •2.7. Проблемы поддержания адекватности модели миру. Понятие информационного фильтра
- •2.8. Математические модели оценки эффективности систем выявления угроз
- •Вопросы и задачи
- •Понятие скрытой угрозы.
- •3. Защита информации.
- •3.1. Виды информации
- •3.2. Методы нарушения конфиденциальности, целостности и доступности информации
- •3.2.1. Характеристики технических средств срытного съема информации
- •3.3. Причины, виды, каналы утечки и искажения информации
- •3.4. Методы и средства обеспечения иб. Методологические, организационные и технические способы защиты информации
- •3.4.1. Политика безопасности
- •3.4.2. Модель нарушителя
- •3.4.3. Организационные меры
- •3.4.4. Технические средства защиты информации
- •3.5. Принципы построения технических средств защиты информации
- •3.6. Целостность и изменчивость в решении задачи обеспечения безопасности данных
- •3.7. Дополнительные требования к системе обеспечения безопасности информации
- •3.8. Оценка надежности обеспечения защиты информации
- •Часть 1.
- •Часть 2.
- •3.9. Контроль и тестирование в системе обеспечения безопасности
- •3.10. Преступления в сфере использования средств вычислительной техники
- •3.10.1. Особенности экспертизы компьютерных правонарушений
- •Вопросы и задачи
- •4. Основы формальной теории информационной войны
- •4.1. История информационных войн
- •4.2. Информационное оружие
- •4.2.1. Информационное оружие в гуманитарной сфере
- •4.2.2. Информационное оружие в технической сфере
- •4.3. Выборы во власть как средство межгосударственной информационной экспансии
- •4.4. Пример информационной войны на примере Белоруссии 2006 г.
- •4.5. Оценка эффективности информационных воздействий
- •4.5.1. Информационная энергия
- •4.5.2. Эффективность перепрограммирования информационных систем
- •4.6. Формальная теория информационной войны
- •4.6.1. Формализация логики целей (формальная модель мира)
- •4.6.2. Осознание картины мира
- •4.6.3. Система отношений информационных субъектов
- •4.7. Стратегия информационной войны
- •4.8. Максимально возможный уровень рефлексии (осознания мира)
- •4.9. Сравнительные характеристики миров
- •4.10. Области приложения формальной теории информационных войн
- •Вопросы и задачи
- •Области приложения формальной теории информационных войн.
- •5. Государственная информационная политика.
- •5.1. Проблемы региональной информационной безопасности
- •5.2. Нормативные правовые акты в сфере обеспечения информационной безопасности
- •Вопросы и задачи
- •Литература по курсу «Основы информационной безопасности»
5.2. Нормативные правовые акты в сфере обеспечения информационной безопасности
Занятия по теме «Нормативные правовые акты в сфере обеспечения информационной безопасности» рекомендуется разделить на две части. Первое занятие посвятить обзорной лекции по материалам представленным в данном разделе. Второе занятие сделать более целенаправленным и придать ему характер семинара. На семинаре рассмотреть ряд конкретных нормативных правовых актов в приложении к конкретным учебным задачам, решение которых необходимо обеспечить правовым сопровождением. Так, в заключение раздела приведены примеры подбора необходимых правовых актов для решения конкретных задач, а также задачи для самостоятельного решения.
Государственная информационная политика раскрывается через основополагающие документы, принятые на высшем уровне государственной власти, прописывающие цели, задачи, пути решения и структуру системы государственных органов, ответственной за проведение государственной информационной политики.
Законодательство в области защиты информации включает в себя:
- указы Президента РФ;
- постановления Правительства РФ;
- законодательные акты.
Подробно все имеющиеся на сегодняшний день материалы, которые могут быть отнесены к законодательству в области защиты информации представлены на сайте http://www.gtk.lissi.ru. Поэтому здесь мы ограничимся только перечнем основных документов, которые, на наш взгляд, на сегодняшний день образуют достаточно полную систему.
В начале перечислим документы, регулирующие организационную часть деятельности по защите информации, а затем деятельность, в ходе которой используются технические средства защиты информации.
Указы Президента РФ
Указ Президента РФ от 16 августа 2004 г. N 1085. "Вопросы Федеральной службы по техническому и экспортному контролю" (с изменениями от 22 марта 2005 г.).
"О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" от 12.05.2004 №611
"О внесении изменений и дополнений в перечень сведений, отнесенных к государственной тайне", утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203 от 06.06.2001 № 659
"Вопросы Межведомственной комиссии по защите государственной тайны" 02.06.01 № 627
"Вопросы военно - технического сотрудничества Российской Федерации с иностранными государствами" от 01.12.00 № 1953
"О внесении изменений в Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне" от 26.09.00 № 419-рп
"Доктрина информационной безопасности Российской Федерации" от 09.09.2000 № Пр-1895
"О концепции национальной безопасности Российской Федерации" от 10.01.00 № 24
"О составе Межведомственной комиссии по защите государственной тайны по должностям" 01.11.99 № 1467
"Вопросы Государственной технической комиссии при Президенте Российской Федерации" от 24.06.99 № 811
"Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне" от 17.01.00 № 6-рп
Выписка из указа "Вопросы Государственной технической комиссии при Президенте Российской Федерации" от 19.02.99 № 212
Вопросы военно-технического сотрудничества Российской Федерации с иностранными государствами" от 07.12.98 № 1488
"О перечне сведений, отнесенных к государственной тайне" от 24.01.98 № 61
"Концепция национальной безопасности Российской Федерации" от 17.12.97 № 1300
"О некоторых вопросах межведомственной комиссии по защите государственной тайны" от 14.06.97 № 594
"Об утверждении перечня сведений конфиденциального характера" от 06.03.97 № 188
"Вопросы межведомственной комиссии по защите государственной тайны" от 20.01.96 № 71
"О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 № 334
"Об основах государственной политики в сфере информатизации" от 20.01.94 № 170
Постановления Правительства РФ
"О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" от 27.05.02 № 348
"Об утверждении Порядка разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Порядка разработки списка государств, в которые разрешена передача продукции военного назначения, указанной в списке продукции военного назначения, разрешенной к передаче иностранным заказчикам" 30.08.01 N 647
"О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля" 29.08.01 N 633
"Об утверждении положения о лицензировании деятельности по разработке, производству и испытаниям авиационной техники, в том числе авиационной техники двойного назначения" от 19.03.01 N 205
"Об утверждении положения о лицензировании деятельности в области вооружения и военной техники" от 19.03.01 N 207
"Об утверждении Положения о лицензировании образовательной деятельности" 18.10.00 N 796
"О лицензировании отдельных видов деятельности" от 11.04.00 N 326
"Об утверждении Положения об участии российских организаций в проведении выставок и показов продукции военного назначения" 13.12.99 N 1384
"Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне" от 22.08.98 N 1003
"О подготовке к передаче сведений, составляющих государственную тайну, другим государствам" от 02.08.97 N 973
"О государственном учете и регистрации баз и банков данных" 28.02.96 N 226
"Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 04.09.95 N 870
"О сертификации средств защиты информации" от 26.06.95 N 608
"О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15.04.95 N 333
"Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР" от 20.02.95 N 170
"О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне" 14.10.94 N 1161
"О лицензировании деятельности по технической защите конфиденциальной информации" от 30.04.02 № 290
Законодательные акты
Федеральный Закон РФ от 29.07.2004г. №98-ФЗ "О коммерческой тайне"
Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи"
"О лицензировании отдельных видов деятельности" от 08.08.01 № 128-ФЗ
"Об участии в международном информационном обмене" от 04.07.96 № 85-ФЗ
"О государственном оборонном заказе" 24.11.95 № 213-ФЗ
"Об оперативно-розыскной деятельности" от 12.08.95 № 144-Ф3
"Об органах федеральной службы безопасности в Российской Федерации" от 03.04.95 № 40-ФЗ
"Об информации, информатизации и защите информации" от 20.02.95 24-ФЗ
"О связи" от 16.02.95 № 15-ФЗ
"О государственной тайне" от 21.07.93 № 5485-1
"Об авторском праве и смежных правах" 09.07.93 № 5351-1
"Об архивном фонде Российской Федерации и архивах" от 07.07.93 № 5341-1
"О сертификации продукции и услуг" от 10.06.93 № 5151-1
"О стандартизации" от 10.06.93 № 5154-1
"О федеральных органах правительственной связи и информации" от 19.02.93 № 4524-1
"О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523
"О правовой охране топологий интегральных микросхем" от 23.09.92 № 3526-1
"О безопасности" от 05.03.92 № 2446-1
Федеральная служба по техническому и экспортному контролю
Регламентацию той части деятельности по защите информации, которая нуждается в специальных технических средствах, осуществляет Федеральная служба по техническому и экспортному контролю.
Указом Президента РФ от 16 августа 2004 г. № 1085 было утверждено Положение о Федеральной службе по техническому и экспортному контролю (ФСТЭК) России58. Согласно этому положению ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (некриптографическими методами), а также специально уполномоченным органом в области экспортного контроля. ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею. ФСТЭК России ответственна за выпуск руководящих документов, а также положений и инструкций, регулирующих деятельность, связанную с технической защитой информации. Они являются обязательными для исполнения органами государственной власти, а также предприятиями и организациями, обрабатывающими информацию ограниченного доступа. Для коммерческих структур, обрабатывающих информацию, не относящуюся к государственной тайне, эти материалы носят рекомендательных характер.
Основные документы Федеральной службы по техническому и экспортному контролю:
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Постановление Правительства Российской Федерации №290 "О лицензировании деятельности по технической защите конфиденциальной информации"
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Защита информации. Специальные защитные знаки. Классификация и общие требования.
Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
Защита от несанкционированного доступа к информации. Термины и определения.
Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации.
Положение о государственном лицензировании деятельности в области защиты информации.
О защите информации при вхождении России в международную информационную систему "Интернет".
Анализ приведенных документов показывает, что практически все основные направления в организационной, методологической и технической части обеспечения безопасности информации включены в нормативное обеспечение. В свете сказанного, нормативное обеспечение безопасности информации всегда может быть построено (собрано) из перечисленных документов, как из кубиков.
Например, поставлена задача обеспечить безопасность информации, обрабатываемой в локальной сети предприятия, имеющей доступ в Интернет.
Действия в части организационно-методического обеспечения:
1. Ознакомится со следующими нормативными документами:
- "Об информации, информатизации и защите информации" от 20.02.95 24-ФЗ.
"О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523.
- "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" от 27.05.02 № 348.
- "О сертификации средств защиты информации" от 26.06.95 N 608.
Действия технических специалистов:
1. Ознакомится со следующими нормативными документами (в части защиты информации в локальной сети). Это:
- Защита от несанкционированного доступа к информации. Термины и определения. (ФСТЭК).
- Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. (ФСТЭК).
- Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. (ФСТЭК).
2. Ознакомится со следующими нормативными документами (в части защиты информации при доступе в глобальную сеть). Это:
- О защите информации при вхождении России в международную информационную систему "Интернет". (ФСТЭК).
- Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. (ФСТЭК).
В том случае, если предприятие думает принять участие в разработке средств защиты, обязательными для изучения будут следующие документы:
- "О лицензировании деятельности по технической защите конфиденциальной информации" от 30.04.02 № 290.
- "О сертификации средств защиты информации" от 26.06.95 N 608.
- "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15.04.95 N 333.
- Постановление Правительства Российской Федерации №290 "О лицензировании деятельности по технической защите конфиденциальной информации". (ФСТЭК).
- Положение о государственном лицензировании деятельности в области защиты информации. (ФСТЭК).