ТИБМЗИ 2010 Загинайлов
.pdfных СМИ, осуществления государственной информационной политики;
принятие и реализацию федеральных программ по различным направлениям обеспечения ИБ РФ;
развитие системы подготовки кадров, используемых в области обеспечения ИБ РФ;
гармонизацию отечественных стандартов в области информа-
тизации и обеспечения информационной безопасности ИТ, ИС, ИТТ, АСУ общего и специального назначения.
Важное значение, среди практических мер и мероприятий по реализации государственной политики обеспечения ИБ РФ, занимают федеральные программы. В основе их разработки лежат положения концептуальных нормативно-методических документов утверждаемых Президентом РФ. К их числу в области информационной безопасности относятся:
-Стратегия развития информационного общества в Российской Федерации;
-Стратегия национальной безопасности Российской Федерации до 2020 года.
С учётом этих документов, основными направлениями в области обеспечения информационной безопасности РФ, являются:
-обеспечение безопасности функционирования информационнотелекоммуникационной инфраструктуры;
-обеспечение безопасности функционирования информационных
ителекоммуникационных систем ключевых объектов инфраструктуры Российской Федерации, в том числе критических важных объектов и объектов повышенной опасности;
-повышение уровня защищенности корпоративных и индивидуальных информационных систем;
-создание единой системы информационнотелекоммуникационного обеспечения нужд государственного управления, обороны страны, национальной безопасности и правопорядка;
-совершенствование правоприменительной практики в области противодействия угрозам использования информационных и телекоммуникационных технологий во враждебных целях;
-обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований по обеспечению безопасности информации ограниченного доступа;
-противодействие распространению идеологии терроризма и экстремизма, пропаганде насилия с использованием ИТ и ИТКС.
41
3.4 Система обеспечения информационной безопасности Российской Федерации
Система обеспечения информационной безопасности РФ (СОИБ РФ) предназначена для реализации государственной политики в данной сфере с использованием различных методов, мер и является частью системы обеспечения национальной безопасности страны.
Она строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов РФ в области информационной безопасности.
Основными функциями СОИБ РФ являются:
разработка нормативной правовой базы в области обеспечении ИБ РФ;
создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
оценка состояния ИБ РФ, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения ИБ РФ;
контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности РФ;
предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
42
организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
проведение единой технической политики в области обеспечения ИБ РФ;
организация фундаментальных и прикладных научных исследований в области обеспечения ИБ РФ;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов РФ, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
совершенствование и развитие единой системы подготовки кадров, используемых в области ИБ РФ;
осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов РФ в соответствующих международных организациях.
Составляющие системы обеспечения информационной безопасности Российской Федерации приведены на рис.3.5.
Система правового обеспечения ИБ РФ. Правовое обеспечение информационной безопасности является самостоятельным комплексным направлением правового регулирования отношений в области проявления угроз объектам информационной безопасности и противодействия этим угрозам на основе норм и институтов различных отраслей права (конституционного, гражданского, уголовного, и информационного).
Она включает отдельные нормативные правовые акты, специально предназначенные для регулирования отношений в области обеспечения информационной безопасности, и отдельные нормы в этой области, содержащиеся в нормативных правовых актах различных отраслей законодательства. К нормативным правовым актам относятся:
-федеральные законы РФ и законы субъектов РФ, в том числе технические регламенты;
-Указы Президента РФ;
-Постановления Правительства РФ;
43
Система обеспечения информационной безопасности
Российской Федерации
МВК Совета Безопасности РФ в области ИБ
Правовое |
|
|
Организационная |
||||
обеспечение |
|
|
основа |
||||
ИБ РФ |
|
|
ИБ РФ |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Система |
|
|
Государствен- |
|
|
Система |
||||
|
защиты |
|
|
ная |
|
|
защиты инфор- |
||||
|
государственной |
|
|
система |
|
|
мационных прав |
||||
|
|
|
|
|
|||||||
|
тайны |
|
|
ПДТР и ТЗИ |
|
|
субъектов и про- |
||||
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
тиводействия |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
преступлениям в |
|
|
|
|
|
|
|
|
|
|
|
информационной |
|
Система |
|
|
Система |
|||||||
|
|
|
|
|
сфере |
||||||
|
подготовки |
|
|
защиты |
|
|
|
||||
|
|
|
|
|
|
||||||
|
кадров |
|
|
интеллекту- |
|
|
|
||||
|
|
|
|
|
Система |
||||||
|
|
в |
|
|
альной |
|
|
||||
|
области ИБ |
|
|
собственности |
|
|
НИИ, |
||||
|
|
|
|
|
|
|
|
|
|
|
научных и |
|
|
|
|
|
|
|
|
|
|
|
научно- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
исследователь- |
|
Системы |
|
|
|
Системы |
|
|||||
|
|
|
|
|
|
|
ских центров в |
||||
|
лицензирдеятельнос- |
|
|
|
седеятельртификноса- |
|
|
|
|||
|
|
|
|
|
|
|
области ИБ |
||||
|
вания по |
|
|
|
ции |
|
|
|
|||
|
|
|
|
|
|
|
|
||||
|
видам дея- |
|
|
|
средств |
|
|
|
|
||
|
|
|
|
|
|
|
|
||||
|
тельности в |
|
|
|
обеспече- |
|
|
|
Система |
||
|
области ИБ |
|
|
|
ния ИБ |
|
|
|
|||
|
|
|
|
|
|
|
экспортного кон- |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
троля |
Рисунок 5 – Состав системы обеспечения информационной безопасности России
44
-нормативные правовые акты федеральных органов исполнительной власти уполномоченных осуществлять правовое регулирование в области информационной безопасности и защиты информации.
Правовое обеспечение создаёт правовую основу для функционирования всех других систем в области ИБ и управления ими со стороны Президента РФ и Правительства РФ.
Организационная основа СОИБ РФ. Основными элементами организационной основы СОИБ РФ являются: Президент России, Совет Федерации, Государственная Дума, Правительство, Совет Безопасности, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом и Правительством, органы исполнительной власти субъектов РФ, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством РФ участие в решении задач обеспечения информационной безопасности.
Президент России руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности.
Межведомственная комиссия Совета Безопасности РФ в области информационной безопасности. Межведомственная комиссия Совета Безопасности осуществляют подготовку предложений и рекомендаций Совету Безопасности РФ: по выработке и реализации основных направлений государственной политики, по координации деятельности органов исполнительной власти, по реализации федеральных программ, по разработке проектов нормативных правовых актов, направленных на обеспечение информационной безопасности; выполняет прогнозирование, выявление и оценку угроз и решает другие вопросы в области информационной безопасности России.
Система защиты государственной тайны. Система защиты го-
сударственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях. Вся деятельность по защите го-
сударственной тайны в России осуществляется в соответствии с законом РФ «О государственной тайне».
Коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне, является
45
Межведомственная комиссия по защите государственной тайны. Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации.
Государственная система противодействия техническим разведкам (ПДТР) и технической защиты информации (ТЗИ). Органи-
зация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой возложено законодательством РФ на Федеральную службу по техническому и экспортному контролю (до 2004 года именовалась – Гостехкомиссия России).
Система подготовки кадров в области информационной безо-
пасности. Она включает:
-учреждения высшего и среднего профессионального образования, ведущие подготовку по направлению Информационная безопасность с уровнем подготовки: техник, бакалавр, специалист, магистр;
-государственные образовательные стандарты высшего (ГОС ВПО) и среднего специального образования в области информационной безопасности;
-научную специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность», для подготовки кадров высшей квалификации (кандидат наук, доктор наук), включающей фи- зико-математические науки, технические науки, юридические науки;
-учебно – методическое объединение (УМО) вузов по образованию в области информационной безопасности и учебно-методический совет ( в структуре УМО в области историкоархивоведения).
-курсы переподготовки и повышения квалификации в этой области, действующие на базе вузов и центров информационной безопасности.
Система защиты интеллектуальной собственности. Образуется совокупностью:
-законодательства РФ в области интеллектуальной собственности, основу которого составляет часть IV Гражданского кодекса РФ;
-федерального органа исполнительной власти уполномоченного в области интеллектуальной собственности (Роспатент);
-органами МВД, осуществляющими борьбу с нарушениями в области интеллектуальной собственности;
-общественными организациями в области коллективного управления авторскими правами (Российское авторское общество и др.).
46
Система защиты информационных прав субъектов и противодействия преступлениям в информационной сфере. Эта система включает:
-нормы Конституции РФ и нормы федеральных законов, содержащие информационные права;
-суды различных инстанций, органы прокуратуры, осуществляющие защиту информационных прав граждан, общественных организаций;
-общественные институты (общественная палата при Президенте РФ) и специальные институты по правам человека (уполномоченные по правам человека) и др.;
-специальные органы в системе МВД России (Управление «К») по борьбе с преступлениями в сфере высоких технологий.
Системы лицензирования по видам деятельности в области ИБ. Для регламентации деятельности в области информационной безопасности в России функционируют три системы лицензирования:
-система лицензирования в области защиты государственной тайны (регламентируется законодательством «О государственной тайне»);
-система лицензирования в области защиты конфиденциальной информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства РФ);
-система лицензирования в области криптографической защиты информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства РФ).
Каждая из систем имеет сеть аккредитованных лицензионных центров в субъектах РФ. Виды деятельности и условия лицензирования по ним в рамках каждой системы определены нормативными актами Правительства РФ.
Системы сертификации средств обеспечения ИБ. Сертифика-
ция средств защиты информации осуществляется в целях подтверждения их соответствия требованиям технических регламентов, стандартов, специальных нормативных документов в области ИБ. К сертифи-
кации относится также аттестация объектов информатизации по требованиям безопасности информации. Она проводится в соответствии с нормами Федерального закона «О техническом регулировании». Системы сертификации:
1.Система сертификации средств защиты информации по требованиям безопасности информации Р0СС RU. 0001. 01БИ00;
2. Система сертификации средств криптографической защиты ин-
формации РОСС.RU.0001.030001;
47
3. Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (СЗИ-ГТ).
Система научно-исследовательских институтов ( НИИ), научных и научно-исследовательских центров в области ИБ предна-
значена для осуществления фундаментальных и прикладных научных исследований в области обеспечения ИБ РФ. Она включает:
-специализированные в области ИБ научно-исследовательские институты при Академии наук РФ, вузах, ведомствах и ведомственных вузах (ФСБ России, ФСТЭК России);
-специализированные научные и научно – исследовательские центры в области ИБ, как при государственных учреждениях и органах государственной власти, так и негосударственных;
-учебно-научные центры при ведущих вузах России.
Система экспортного контроля. Руководство указанной систе-
мой возложено законодательством РФ на Федеральную службу по техническому и экспортному контролю. Функционирует она в соответствии и на основе требований Федерального закона «Об экспортном контроле».
Контрольные вопросы и задания
1.Где отражается совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации?
2.Какие составляющие включает в себя понятие информационной безопасности Российской Федерации приводимое в официальных документах государства?
3.Какие составляющие (компоненты) включает в себя концептуальная модель информационной безопасности Российской Федерации.
4.Перечислите основные объекты информационной безопасности России.
5.Перечислите наиболее важные угрозы объектам информационной безопасности России.
6.На каких принципах основывается государственная политика обеспечения информационной безопасности России.
7.Для чего предназначена система обеспечения информационной безопасности России?
8.Перечислите основные функции системы обеспечения информационной безопасности России.
48
9.Какие системы включает в себя система обеспечения информационной безопасности России?
10.Что включает в себя система правового обеспечения информационной безопасности России?
49
Глава 4
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
4.1 Концептуальная модель и основные понятия
Теоретические основы информационной безопасности организации, призваны в форме научного знания, дать целостное представление об объектах информационной безопасности организации, угрозах этим объектам и интересам субъектов, политике и системе обеспечения информационной безопасности организации, их закономерностях
исущественных связях между собой и окружающей средой.
Вкачестве такой формы научных знаний, основанных на практическом опыте следует считать международные стандарты в области информационной безопасности, принятые в России на уровне национальных:
1.ГОСТ Р ИСО/МЭК 27001 -2006Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
2.ГОСТ Р ИСО/МЭК 13335-2006. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Части 1-5.
3.ГОСТ Р ИСО/МЭК 15408-2008 Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3.
Стандарты предназначены для применения организациями любой формы собственности (например, коммерческими, государственными
инекоммерческими организациями) и содержат концепции и модели по менеджменту информационной безопасности, руководства по управлению безопасностью информационных (ИТ) и информационнотелекоммуникационных технологий (ИТТ) на которых основаны биз- нес-процессы организации, методы управления рисками в этой области, меры организационного, технического характера по обеспечению безопасности ИТ (ИТТ), меры физической защиты.
С учётом общей концептуальной модели информационной безопасности, рассмотренной в главе 1, компоненты концептуальной модели информационной безопасности организации будут включать
(рис.4.1):
50