Загинайлов Теория ИБ-1 главы с 4 по 10
.pdf–осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов России в соответствующих международных организациях.
Составляющие системы обеспечения информационной безопасности Российской Федерации приведены на рисунке 3.2.
Система правового обеспечения информационной безопасно-
сти России. Правовое обеспечение информационной безопасности является самостоятельным комплексным направлением правового регулирования отношений в области проявления угроз объектам информационной безопасности и противодействия этим угрозам на основе норм и институтов различных отраслей права (конституционного, гражданского, уголовного, информационного).
Она включает отдельные нормативные правовые акты, специально предназначенные для регулирования отношений в области обеспечения информационной безопасности, и отдельные нормы в этой области, содержащиеся в нормативных правовых актах различных отраслей законодательства. К нормативным правовым актам относятся:
–федеральные законы и законы субъектов Российской Федерации, в том числе технические регламенты;
–Указы Президента России;
–Постановления Правительства России;
–нормативные правовые акты федеральных органов исполнительной власти уполномоченных осуществлять правовое регулирование в области информационной безопасности и защиты информации.
Правовое обеспечение создаёт правовую основу для функционирования всех других систем в области информационной безопасности
иуправления ими со стороны Президента и Правительства России.
Организационная основа системы обеспечения информаци-
онной безопасности России. Основными элементами организационной основы СОИБ РФ являются: Президент России, Совет Федерации, Государственная Дума, Правительство, Совет Безопасности, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом и Правительством, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством участие в решении задач обеспечения информационной безопасности. Президент России руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности.
51
Система обеспечения информационной безопасности
Российской Федерации
МВК Совета Безопасности РФ в области ИБ
Правовое |
|
|
Организационная |
||||
обеспечение |
|
|
основа |
||||
ИБ РФ |
|
|
ИБ РФ |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Система |
|
Государствен- |
защиты |
|
ная |
государственной |
|
система |
|
||
тайны |
|
ПДТР и ТЗИ |
|
|
|
|
|
|
Система |
|
Система |
подготовки |
|
защиты |
кадров |
|
интеллекту- |
в |
|
альной |
области ИБ |
|
собственности |
|
|
|
Системы лицензирдеятельносвания по видам деятельности в области ИБ
Системы седеятельртификносации средств обеспечения ИБ
Система защиты информационных прав субъектов и противодействия преступлениям в информационной сфере
Система НИИ, научных и научноисследовательских центров в области ИБ
Система экспортного контроля
Рисунок 3.2 – Состав системы обеспечения информационной безопасности России
52
Межведомственная комиссия Совета Безопасности России в области информационной безопасности. Межведомственная комис-
сия Совета Безопасности осуществляют подготовку предложений и рекомендаций Совету Безопасности России:
–по выработке и реализации основных направлений государственной политики;
–по координации деятельности органов исполнительной власти;
–по реализации федеральных программ;
–по разработке проектов нормативных правовых актов, направленных на обеспечение информационной безопасности;
–выполняет прогнозирование, выявление и оценку угроз и решает другие вопросы в области информационной безопасности России.
Система защиты государственной тайны. Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
Вся деятельность по защите государственной тайны в России осуществляется в соответствии с законом РФ «О государственной тайне».
Коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства России о государственной тайне, является Межведомственная комиссия по защите государственной тайны. Руководство деятельностью этой комиссии осуществляет Президент Российской Федерации.
Государственная система противодействия техническим разведкам (ПДТР) и технической защиты информации (ТЗИ). Органи-
зация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой возложено законодательством России на Федеральную службу по техническому и экспортному контролю (до 2004 года именовалась – «Гостехкомиссия России»).
Система подготовки кадров в области информационной безо-
пасности. Эта система включает:
–учреждения высшего и среднего профессионального образования, ведущие подготовку по направлению «Информационная безопас-
53
ность» с уровнем подготовки: техник, бакалавр, специалист, магистр;
–государственные образовательные стандарты высшего (ГОС ВПО) и среднего специального образования в области информационной безопасности;
–научную специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность», для подготовки кадров высшей квалификации (кандидат наук, доктор наук), включающей фи- зико-математические науки, технические науки, юридические науки;
–учебно-методическое объединение (УМО) вузов по образованию в области информационной безопасности и учебно-методический совет ( в структуре УМО в области историко-архивоведения);
–курсы переподготовки и повышения квалификации в этой области, действующие на базе вузов и центров информационной безопасности.
Система защиты интеллектуальной собственности. Эта сис-
тема образуется совокупностью:
–законодательства России в области интеллектуальной собственности, основу которого составляет часть IV Гражданского кодекса;
–федерального органа исполнительной власти уполномоченного
вобласти интеллектуальной собственности (Роспатент);
–органами МВД, осуществляющими борьбу с нарушениями в области интеллектуальной собственности;
–общественными организациями в области коллективного управления авторскими правами (Российское авторское общество и др.).
Система защиты информационных прав субъектов и противодействия преступлениям в информационной сфере. Эта система включает:
–нормы Конституции России и нормы федеральных законов, содержащие информационные права;
–суды различных инстанций, органы прокуратуры, осуществляющие защиту информационных прав граждан, общественных организаций;
–общественные институты (общественная палата при Президенте России) и специальные институты по правам человека (уполномоченные по правам человека) и др.;
–специальные органы в системе МВД России (Управление «К») по борьбе с преступлениями в сфере высоких технологий.
Системы лицензирования по видам деятельности в области информационной безопасности. Для регламентации деятельности в
54
области информационной безопасности в России функционируют три системы лицензирования:
–система лицензирования в области защиты государственной тайны (регламентируется законодательством «О государственной тай-
не»);
–система лицензирования в области защиты конфиденциальной информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства России);
–система лицензирования в области криптографической защиты информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства России).
Каждая из систем имеет сеть аккредитованных лицензионных центров в субъектах Российской Федерации. Виды деятельности и условия лицензирования, в рамках каждой системы, определены нормативными актами Правительства России.
Системы сертификации средств обеспечения информацион-
ной безопасности. Сертификация средств защиты информации осуществляется в целях подтверждения их соответствия требованиям технических регламентов, стандартов, специальных нормативных документов в области информационной безопасности. К сертификации отно-
сится также аттестация объектов информатизации по требованиям безопасности информации. Она проводится в соответствии с нормами Федерального закона «О техническом регулировании». Сертификация осуществляется в рамках трёх самостоятельных систем сертификации, существование которых обусловлено особенностями устройства, принципами функционирования, условиями применения и решаемыми задачами защиты информации. Системами сертификации средств защиты информации являются:
–система сертификации средств защиты информации по требованиям безопасности информации Р0СС RU. 0001. 01БИ00;
–система сертификации средств криптографической защиты ин-
формации РОСС.RU.0001.030001;
–система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (СЗИ-ГТ).
Система научно-исследовательских институтов ( НИИ), научных и научно-исследовательских центров в области информа-
ционной безопасности. Эта система предназначена для осуществле-
55
ния научных исследований в области обеспечения информационной безопасности. Она включает:
–специализированные в области информационной безопасности научно-исследовательские институты при Академии наук России, вузах, ведомствах и ведомственных вузах (ФСБ России, ФСТЭК России);
–специализированные научные и научно – исследовательские центры в области информационной безопасности, как при государственных учреждениях и органах государственной власти, так и негосударственных;
–учебно-научные центры при ведущих вузах России.
Система экспортного контроля. Руководство указанной систе-
мой возложено законодательством России на Федеральную службу по техническому и экспортному контролю. Функционирует она в соответствии и на основе требований Федерального закона «Об экспортном контроле».
Контрольные вопросы и задания
1.Где отражается совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации?
2.Какие составляющие включает в себя понятие информационной безопасности Российской Федерации приводимое в официальных документах государства?
3.Какие составляющие (компоненты) включает в себя концептуальная модель информационной безопасности Российской Федерации.
4.Перечислите основные объекты информационной безопасности России.
5.Перечислите наиболее важные угрозы объектам информационной безопасности России.
6. На каких принципах основывается государственная политика обеспечения информационной безопасности России.
7.Для чего предназначена система обеспечения информационной безопасности России?
8.Перечислите основные функции системы обеспечения информационной безопасности России.
9.Какие системы включает в себя система обеспечения информационной безопасности России?
10.Что включает в себя система правового обеспечения информационной безопасности России?
56
Глава 4 ТЕОРЕТИЧЕСКИЕ ОСНОВЫИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
4.1 Концептуальная модель и основные понятия
Теоретические основы информационной безопасности организации, призваны в форме научного знания, дать целостное представление об объектах информационной безопасности организации, угрозах этим объектам и интересам субъектов, политике и системе обеспечения информационной безопасности организации, их закономерностях и существенных связях между собой и окружающей средой.
Данная глава основана на идеях, которые нашли свое воплощение в лучших мировых практиках, отражённых в международных стандартах в области информационных технологий применительно к информационной безопасности. Значительная часть этих стандартов, в последние годы, принята в России в качестве национальных. Их основу составляют стандарты:
–ГОСТ Р ИСО/МЭК серии 27000, относящиеся к системам менеджмента информационной безопасности;
–ГОСТ Р ИСО/МЭК серии 13335 относящиеся к методам и средствам обеспечения безопасности;
–ГОСТ Р ИСО/МЭК серии 15408 относящиеся к критериям оценки безопасности информационных технологий.
Стандарты предназначены для применения организациями любой формы собственности (например, коммерческими, государственными
инекоммерческими организациями) и содержат концепции и модели по менеджменту информационной безопасности, руководства по управлению безопасностью ИТ и ИТТ на которых основаны бизнеспроцессы организации, методы управления рисками в этой области, меры организационного, технического характера по обеспечению безопасности информационных технологий, меры физической защиты.
С учётом общей концептуальной модели информационной безопасности и идей, воплощённых в лучших мировых практиках, компоненты концептуальной модели информационной безопасности организации будут включать (рисунок 4.1): активы (объекты информацион-
ной безопасности); уязвимости, риски, инциденты (угрозы); политику информационной безопасности организации, защитные меры (система обеспечения информационной безопасности организации).
57
Информационная безопасность
К О М П О Н Е Н Т Ы
Объекты |
|
Угрозы |
|
Политика |
|
Система |
ИБ |
|
объектам ИБ |
|
обеспечения |
|
обеспечения |
|
|
ИБ |
|
|||
|
|
|
|
|
ИБ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К О М П О Н Е Н Т Ы ИБ О Р Г А Н И З А Ц И И |
||||||
|
|
|
|
|
|
|
|
|
Угрозы |
|
Политика |
|
|
Активы |
|
|
|
ИБ |
|
Защитные |
|
|
|
|
|||
|
Уязвимости |
|
|
|||
|
|
|
организации |
|
меры |
|
|
|
|
|
|
|
|
|
|
Риски |
|
|
|
|
|
|
|
|
|
|
|
|
|
Инциденты |
|
|
|
|
|
|
|
|
|
|
|
Рисунок 4. 1 – Концептуальная модель информационной безопасности организации
Спозиции управления информационной безопасностью органи-
зации информационная безопасность определяется, как свойство информации сохранять конфиденциальность, целостность и доступность.
Спозиции безопасности системы информационных технологий, на которых основаны бизнес-процессы организации информационная безопасность – это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Понятия свойств конфиденциальности, целостности и доступности рассмотрены в главе 1, свойства неотказуемости, подотчётности и аутентичности, связаны со средствами обработки информации и означают:
– неотказуемость – способность удостоверять имевшее место
58
действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты;
–подотчетность – свойство, обеспечивающее однозначное прослеживание действий любого логического объекта;
–аутентичность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным
4.2 Объекты и угрозы информационной безопасности организации
Объекты обеспечения информационной безопасности. Объек-
ты обеспечения информационной безопасности в контексте безопасности системы информационных технологий организации именуются активами.
Активы (А) - все, что имеет ценность для организации. Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства.
Могут существовать следующие типы активов (таблица 4.1):
1. Информация/данные:
а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.);
б) информация в форме сообщений (информационные ресурсы - документы, закрепляющие права собственников организации на материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и.т.п.).
2. Информационная инфраструктура – ИТ, ИС, ИТКС (аппарат-
ные средства (например, компьютеры, принтеры), программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения), оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели), программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM)).
3.Продукция организации.
4.Услуги (например, информационные, вычислительные услуги).
59
Таблица 4.1 – Объекты обеспечения ИБ организации (активы)
Группы |
Непосредственные объекты (активы) |
|
объектов |
||
|
||
1 |
2 |
|
|
а) информация в форме сведений (сведения об участ- |
|
1. Информация |
никах организации, о состоянии рынка, престиж (имидж) |
|
/данные: |
организации и доброе имя участников организации и т.п.); |
|
б) информация в форме сообщений (документированная |
||
|
||
|
информация: документы, закрепляющие права собственников |
|
|
организации на материальные и нематериальные активы, доку- |
|
|
ментация бухгалтерского учёта, налоговые декларации, догово- |
|
|
ры на выполнение работ и оказание услуг, документация на вы- |
|
|
пускаемые изделия и.т.п.); |
|
|
в) информация (данные) - информационные ресурсы в ин- |
|
|
формационных системах организации |
|
|
|
|
|
а) ИС и ИТКС (их информативные физические поля –для |
|
2. Объекты |
ИОД) обеспечивающие бизнес-процессы организации; |
|
информационной |
б) ИТ и ИТТ, АСУ, системы связи и передачи данных, |
|
осуществляющие прием, обработку, хранение и передачу ин- |
||
инфраструктуры |
формации (например программное обеспечение и др.) |
|
|
в) помещения, предназначенные для ведения закрытых |
|
|
переговоров, а также переговоров, в ходе которых оглашают- |
|
|
ся сведения ограниченного доступа |
|
|
|
|
|
а) правовой статус организации как объекта информа- |
|
3. Интересы |
ционной сферы – юридического лица (права на объекты ин- |
|
организации |
теллектуальной собственности, на коммерческую тайну, на |
|
выполнение работ и оказание услуг, на доступ к общедоступ- |
||
|
||
|
ной информации государственных органов, и т.п.,) |
|
|
б) персонал организации (его интересы по соблюдению |
|
|
режима персональных данных, права на объекты интеллекту- |
|
|
альной собственности и на доступ к информации и т.п.); |
|
|
в) интересы субъектов взаимодействия (партнёров) от- |
|
|
носительно активов (собственников (учредителей), инвесто- |
|
|
ры, заказчики и поставщики продукции и услуг ( в т.ч. лицен- |
|
|
зиары и правообладатели объектов интеллектуальной собст- |
|
|
венности), конфиденты коммерческой тайны |
|
|
|
|
4. Продукция |
а) продукция организации; |
|
и услуги |
б) услуги (например, информационные, вычислитель- |
|
|
ные услуги); |
|
|
в) конфиденциальность и доверие при оказании услуг |
|
|
(например, услуг по совершению платежей). |
|
|
|
|
|
60 |