Защита информации

10.Доктрина информационной безопасности. Стратегия национальной безопасности. Указы Президента РФ. Федеральные законы. Постановления Правительства. ГОСТ Р. ГОСТ Р ИСО/МЭК.

Конституция Российский Федерации — высший нормативный правовой акт Российской Федерации. Принята народом Российской Федерации 12 декабря 1993 года. Вступила в силу со дня официального опубликования 25 декабря 1993 года. Среди прочего упразднила Съезд народных депутатов России, Верховный Совет России и заменила их Федеральным собранием Российской Федерации, состоящим из Совета Федерации, в который входило по 2 представителя от каждого субъекта Федерации, и Государственной думы, избираемой народом.

Конституция обладает высшей юридической силой, закрепляющей основы конституционного строя России, государственное устройство, образование представительных, исполнительных, судебных органов власти и систему местного самоуправления, права и свободы человека и гражданина

Доктрина информационной безопасности Российской Федерации — совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Доктрина информационной безопасности Российской Федерации была утверждена 9 сентября 2000 года Президентом Российской Федерации В.В. Путиным.

Понятие информационной безопасности в доктрине

Информационная безопасность - это состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:

1)Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.

2)Информационное обеспечение государственной политики РФ(доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.

3)Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.

4)Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине:

1.Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.

2.Угрозы информационному обеспечению государственной политики РФ.

3.Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.

4.Угрозы безопасности информационных и телекоммуникационных средств и систем.

Методы обеспечения информационной безопасности РФ в доктрине

Правовые методы

-Разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ

-разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ

Организационно-технические методы

-создание системы информационной безопасности РФ и ее совершенствование

-привлечение лиц к ответственности, совершивших преступления в этой сфере

-создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации

-выявление средств и устройств представляющих опасность для нормального функционирования систем, предотвращение перехвата информации с применение средств криптографической защиты как при передаче информации, так и при ее хранении

-контроль за выполнением требований по защите информации

-контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ

-создание системы мониторинга информационной безопасности РФ

Экономические методы

-разработка программ обеспечения информационной безопасности и их финансирование

-финансирование работ связанных с обеспечением информационной безопасности РФ

Доктрина служит основой для

формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

подготовки предложений по совершенствованию правового, методического, научнотехнического и организационного обеспечения информационной безопасности Российской Федерации;

разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Стратегия национальной безопасности Российской Федерации до 2020 года 13 мая 2009 года

Основными направлениями обеспечения национальной безопасности Российской Федерации являются стратегические национальные приоритеты, которыми определяются задачи важнейших социальных, политических и экономических преобразований для создания безопасных условий реализации конституционных прав и свобод граждан Российской Федерации, осуществления устойчивого развития страны, сохранения территориальной целостности и суверенитета государства (национальные приоритеты: обороноспособность, государственная безопасность и улучшение качества жизни в стране. – по заявлению Патрушева (секретарь совета безопасности)).

Настоящая Стратегия является базовым документом по планированию развития системы обеспечения национальной безопасности Российской Федерации. В нём излагаются порядок действий и меры по обеспечению национальной безопасности. Она является основой для взаимодействия органов государственной власти, организаций и общественных объединений для защиты национальных интересов Российской Федерации и обеспечения безопасности личности, общества и государства.

Основная задача настоящей Стратегии состоит в формировании и поддержании силами обеспечения национальной безопасности внутренних и внешних условий, благоприятных для реализации стратегических национальных приоритетов.

Основные понятия:

"национальная безопасность" - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;

"национальные интересы Российской Федерации" - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства; "угроза национальной безопасности" - прямая или косвенная возможность нанесения ущерба

конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;

"стратегические национальные приоритеты" - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;

"система обеспечения национальной безопасности" - силы и средства обеспечения национальной безопасности;

"силы обеспечения национальной безопасности" - Вооруженные Силы Российской Федерации,

другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы

государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;

"средства обеспечения национальной безопасности" - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.

Федеральные законы РФ

•ФЗ-149 "Об информации, информационных технологиях и о защите информации"

•ФЗ-63 "Об электронной подписи"

•ФЗ-98 "О коммерческой тайне"

•ФЗ-152 "О персональных данных"

•ФЗ-5485-1 "О государственной тайне"

•ФЗ-390 "О безопасности"

•ФЗ-184 "О техническом регулировании"

•ФЗ-395-1 "О банках и банковской деятельности"

•ФЗ-2124-1 "О средствах массовой информации"

Указы и Распоряжения Президента РФ

•№ 151-рп Распоряжение президента РФ "О перечне должностных лиц органов государственной власти и организаций, нааделяемых полномочиями по отнесению сведений к государственной власти"

•№ 188 Указ Президента РФ "Об утвеждении перечня сведений конфиденциального характера"

•№ 334 Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации"

•№ 351 Указ Президента РФ "О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена"

•№ 1286 Указ Президента РФ "Вопросы межведомствоенной комиссии по защите государственной тайны"

•№ 1203 Указ Президента РФ "Перечень сведений, отнесенных к государственной тайне"

•№ 21 Указ Президента РФ "О мерах по упорядочению разработки, прозводства, реализации, приобритения в целях продажи, ввоза в РФ и вывоза за её пределы, а также использования специальных технических средств, предназначенных для негласного получения информации"

•№ 537 Указ Президента РФ "О стратегии национальной безопасности Российской Федерации до 2020 гола"

•№ 1085 "Вопросы федеральной службы по техническому и экспортному контролю"

Постановления Правительства РФ

•От 6 февраля 2010 № 63 "Об утверждении инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне"

•От 3 февраля 2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации"

•От 15 апреля 1995 № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны"

•От 6 июля 2008 № 512 "Об утвеждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

•От 15 сентября 2008 № 687 "Об утвеждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

•От 17 ноября 2007 № 781 "Об утвеждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

•От 4 сентября 1995 № 870 "Об утвеждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности"

•От 29 декабря 2007 № 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровательними (криптографигескими) средствами"

•От 2 августа 1997 № 973 "Об утверждении положения о подготовке к передачи сведений, составляющих государственную тайну, дуругим государствам или международным организациям"

•От 29 августа 2001 № 633 "О внесении изменения в Положение о размещении и использовании на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ иностранных технических средств наблюдения и контроля"

•От 1 ноября 2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

ГОСТы

•ГОСТ 28195-89 "Оценка качества программных средств"

•ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения"

•ГОСТ 34.601-90 "Автоматизированные системы. Стадии создания"

•ГОСТ 34.603-92 "Виды испытаний автоматизированных систем"

•ГОСТ Р ИСО/МЕК 15408-1-2008 "Методы и средства обеспечения безопсности. Критерии оценки безопасности информационных технологий. Часть 1"

•ГОСТ Р ИСО/МЕК 15408-2-2008 "Методы и средства обеспечения безопсности. Критерии оценки безопасности информационных технологий. Часть 2"

•ГОСТ Р ИСО/МЕК 15408-3-2008 "Методы и средства обеспечения безопсности. Критерии оценки безопасности информационных технологий. Часть 3"

•ГОСТ Р ИСО/МЭК 17799-2005 "Практическиее правила управления информационной безопасностью"

•ГОСТ Р ИСО/МЭК 27001-2006 "Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности"

•ГОСТ 27201-87 "Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования"

•ГОСТ 28388-89 "Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения"

•ГОСТ 28806-90 "Качество программных средств. Термины и определения"

•ГОСТ 29037-91 "Совместимость технических средств электромагнитная. Сертификационные испытания. Общие положения"

•ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"

•ГОСТ Р 51188-98 "Испытания программных средств на ниличие компьютерных вирусов"

•ГОСТ Р 51275-2006 "Защита информации. Объект автоматизации. Факторы, воздейстыующие на информацию"

•ГОСТ Р 52583-2000 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"

•ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защитном исполнении. Общие требования"

11.Система документов по защите информации ограниченного доступа.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и

оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации

носители сведений, составляющих государственную тайну, — материальные объекты, в том числе физические поля, в которых сведение в виде символов, образов, сигналов, технических решений и процессов; система защиты государственной тайны — совокупность органов защиты государственной тайны,

используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях; допуск к государственной тайне — процедура оформления права граждан на доступ к сведениям,

составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений;

доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного работника со сведениями, составляющими государственную тайну; гриф секретности— реквизиты, свидетельствующие о степени секретности сведений,

содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него; средства защиты информации —технические, криптографические, программные и другие

средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;

перечень сведений, составляющих государственную тайну, — совокупность категорий сведений,

в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

ФЗ «О государственной тайне» Положение о подготовке к передаче сведений,

составляющих государственную тайну, другим государствам Правила отнесения сведений, составляющих

государственную тайну, к различным степеням секретности

Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ,

связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны Положение о сертификации средств защиты информации

Инструкция о порядке проведения специальных экспертиз по допуску предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну Положение о порядке рассекречивания и продления сроков засекречивания архивных документов Правительства СССР

Положение о Межведомственной комиссии по защите государственной тайны О порядке выплаты процентных надбавок должностным лицам и гражданам, допущенным к государственной тайне

Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну

12.Порядок обращения с конфиденциальной информацией.

Конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством

Российской Федерации.

Конфиденциальность информации – состояние защищённости информации, характеризуемое способностью ОИ обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.

Нормативная правовая база деятельности по технической защите конфиденциальной информации: 1. ФЗ 27 июля 2006 года № 149-ФЗ, «Об информации, информационных технологиях и о защите информации» 2. ФЗ 08.08.2001 № 128-ФЗ

«О лицензировании отдельных видов деятельности»

3.Указ Президента Российской Федерации от 6 марта 1997года №188 «Об утверждении перечня сведений конфиденциального характера»

4.Постановление Правительства РФ от 03 ноября 1994 г. № 1233

«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

5.Постановление Правительства РФ от 11 февраля 2002 г. № 135 «О лицензировании отдельных видов деятельности»

6.Постановление Правительства РФ от 30 апреля 2002г. № 290

«О лицензировании деятельности по технической защите конфиденциальной информации»

Виды конфиденциальной информации:

Профессиональная тайна Служебная тайна Коммерческая тайна Персональные данные

Тайна следствия и судопроизводства Информация об интеллектуальной собственности

Перечеть доков по КИ

Устав предприятия (раздел коммерческая тайна)

2.Положение о порядке организации и проведения работ по защите КИ

3.Положение о подразделении по защите конфиденциальной информации

4.Модель угроз конфиденциальной информации

5.План мероприятий по защите конфиденциальной информации

6.Перечень защищаемых объектов информатизации (BП и АС)

7.Перечень сведений конфиденциального характера

8.Инструкция по защите конфиденциальной информации на ОИ

9.Инструкция по антивирусной защите АС (АРМ)

. Приказы руководителя предприятия об организации работ и созданию системы защиты КИ, подразделения по защите КИ, по определению перечня защищаемых ОИ, списка лиц, допущенных к обработке КИ, созданию экспертной комиссии, комиссии по классификации АС.

11.Технические паспорта на защищаемые ОИ

12.Аттестаты соответствия на ОИ требованиям безопасности информации

13.Акты классификации АС.

14.Акты установки систем защиты КИ

15.Акты проверок защищаемых объектов информатизации

16.Лицензии на право работ по защите КИ

Нормативная правовая база деятельности по технической защите конфиденциальной информации.

В решении Гостехкомиссии России № 42 от 03.10.95 изложены Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от ее утечки по техническим каналам

В соответствии с требованиями Положения о государственной системе защиты информации в Российской Федерации от ИТР и от ее утечки по техническим каналам от 15.09.93 № 912-51 (п.

45) Руководство разрабатывается на каждом объекте, на котором предусматривается защита информации от технических разведок и от ее утечки по техническим каналам в ходе его строительства (реконструкции) и эксплуатации

Руководство по ЗИ разрабатывается подразделением по ЗИ от ИТР и то ее утечки по техническим каналам совместно с основными подразделениями объекта.

При отсутствии подразделения или отдельных специалистов по ЗИ разработку Руководства организует руководитель объекта по договору с предприятиями, организациями, имеющими лицензию на данный вид деятельности.

Руководство подписывается должностным лицом, ответственным за ЗИ на объекте, и утверждается руководителем объекта по согласованию с представителем заказчика, головным подразделением отрасли по ЗИ (для предприятий, входящих в состав ведомств) и соответствующим территориальным органом государственной безопасности.

Согласованное Руководство утверждается руководителем органа государственной власти или предприятия (учреждения, организации).

Изменения в Руководство вносятся, согласовываются и утверждаются в том же порядке и на том же уровне, что и основной документ.

К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя объекта. Исполнители мероприятий по ЗИ на объекте должны быть ознакомлены с Руководством в части, их касающейся

Порядок обращения с конфиденциальной информацией.

(МЕРОПРИЯТИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ)

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от утечки информации по техническим каналам или воздействия на нее за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

Разработка мер и обеспечение защиты конфиденциальной информации осуществляются подразделениями по защите информации (службами безопасности) или штатными специалистами, назначаемыми руководителями организаций для проведения таких работ.

Разработка мер защиты конфиденциальной информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России.

Документы на объекты информатизации, предназначенные для обработки (обсуждения) информации конфиденциального характера.

Указ Президента Российской Федерации от 6 марта 1997года №188 «Об утверждении перечня сведений конфиденциального характера»

Постановление Правительства РФ от 30 апреля 2002г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации»

Нормативно-методический документ «Специальные требования и рекомендации по защите конфиденциальной информации». Введён Приказом Гостехкомиссии России от 30.08.2002 г. № 282.(СТР-К)

Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам, Утверждены Председателем Гостехкомиссии России

08.11.2001

Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 г. Москва "О лицензировании деятельности по технической защите конфиденциальной информации

ПОЛОЖЕНИЕ о лицензировании деятельности по технической защите конфиденциальной информации

Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями

СТР-К Документ определяет следующие основные вопросы защиты конфиденциальной информации:

организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

порядок обеспечения защиты информации при эксплуатации объектов информатизации;

особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

13Структура государственной системы ПД ИТР и ТЗИ.

ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля, и подведомственна Минобороны России. ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею Центральный аппарат ФСТЭК России осуществляет организационно-техническое обеспечение

деятельности Межведомственной комиссии по защите государственной тайны и Комиссии по экспортному контролю Российской Федерации

осуществляет в пределах своей компетенции межведомственный контроль за обеспечением защиты государственной тайны, контроль за соблюдением лицензионных требований и условий, а также рассмотрение дел об административных правонарушениях;

организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) Производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации

14. Структура органов по защите государственной тайны в Российской Федерации (в Росжелдор, ОАО РЖД).

В РЖД организация и оперативное управление работами в области защиты информации обеспечиваются отделами системных мер защиты информации и технических средств защиты информации в составе департамента безопасности. Непосредственная работа по обеспечению информационной безопасности на сети железных дорог и филиалов ОАО «РЖД» проводится специалистами отделов защиты информации региональных центров безопасности - структурных подразделений ОАО «РЖД», а также специалистами Главного вычислительного центра - филиала ОАО «РЖД» и его структурных подразделений - информационно-вычислительных центров. Разработка нормативной базы по информационной безопасности осуществляется на основе действующего законодательства Российской Федерации (ФЗ «О персональных данных», ГОСТ 51275-99, ГОСТ Р 51624-2000, ГОСТ Р 51583-2000 и др.), в том числе нормативных актов, гармонизированных с международными стандартами (например, ИСО/МЭК 15408 - 2002 и др.), а также нормативных актов ФСТЭК и ФСБ России.

Среди ключевых направлений формирования нормативной базы следует выделить разработку: комплекса политик информационной безопасности различного уровня; профилей защиты автоматизированных систем (АС) ОАО «РЖД» и отдельных объектов информатизации; документов, обеспечивающих соблюдение режима защиты информации, которая составляет коммерческую тайну; регламентов взаимодействия различных информационных систем, в том числе принадлежащих внешним пользователям; организационно-методических документов, регламентирующих использование информационных ресурсов.