FAQ_Print
.pdf
2)Аппаратные средства - различные электронные и электронно-механические
ит.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.
3)Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.
4)Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.
5)Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.
6)Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.
5.Теоретические и концептуальные основы защиты информации.
Основу правового обеспечения информационной безопасности России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента РФ, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.
Концепция - генеральный замысел, определяющий стратегию действий. Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.
Концепция защиты информации предполагает:
1.Определение понятия, сущности и целей защиты информации.
2.Какую информацию необходимо защищать, каковы критерии отнесения ее
кзащищаемой.
3.Дифференциацию защищаемой информации:
a. по степеням конфиденциальности,
21
b. по собственникам и владельцам.
4.Определение состава и классификации носителей защищаемой информа-
ции.
5.Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
6.Определение методов и средств защиты информации.
7.Кадровое обеспечение защиты информации.
То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативноправовых документов.
Стратегия национальной безопасности до 2020 года была утверждена президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".
Документ содержит 6 разделов:
1.Общие положения
2.Современный мир и Россия: состояние и тенденции развития
3.Национальные интересы Российской Федерации и стратегические национальные приоритеты
4.Обеспечение национальной безопасности
5.Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии
6.Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов
В Общих положениях дается перечень основных понятий в области национальной безопасности:
национальная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;
Важно подчеркнуть, что Документ ориентирован именно на национальную безопасность, то есть на безопасность интересов государства в целом. При этом
22
задача обеспечения национальной безопасности признается комплексной задачей, для решения которой в Стратегии представлены следующие направления деятельности:
1)Повышение качества жизни российских граждан;
2)Экономический рост;
3)Наука, технология и образование;
4)Здравоохранение;
5)Культура;
6)Экология живых систем и рациональное природопользование.
Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:
1)формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
2)подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
3)разработки целевых программ обеспечения информационной безопасности Российской Федерации.
В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:
1)Соблюдение прав и свобод человека в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.;
2)Информационное обеспечение внутренней и внешней государственной политики страны;
3)Развитие информационных технологий в соответствии со временем;
4)Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Дается следующее определение информационной безопасности - состояние защищенности ее национальных интересов в информационной сфере, опреде-
23
ляющихся совокупностью сбалансированных интересов личности, общества и государства.
В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:
1)угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям, духовному возрождению России. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона.
2)угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России.
3)угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз.
4)угрозы безопасности информационных и телекоммуникационных средств
исистем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации. В ходе курса мы подробнее остановимся на данном виде угроз.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
•cоблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской
Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
•Соблюдение принципа баланса интересов граждан, общества и государства
винформационной сфере предполагает законодательное закрепление приоритета
этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов
24
государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
• Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.
Важно отметить, что Доктрина не является нормативно-правовым документом, то есть не обязательна к исполнению ни государством, ни его органами власти, ни гражданами, ни организациями. Доктрина разрабатывается для определенного исторического этапа развития и реализовывается в дальнейшем в виде законов, нормативных актов и практических мер, которые будут рассмотрены далее.
6. Критерии, условия и принципы отнесения информации к защищаемой. Понятие «тайна». Понятие «защищаемая информация». Служебная тайна. Коммерческая тайна. Профессиональная тайна. Персональные данные.
Общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются
по существу критериями определения ее ценности.
Критерии отнесения открытой информации к защищаемой:
1)Необходимость информации для правового обеспечения деятельности предприятия (документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников);
2)Необходимость информации для производственной деятельности (информация, относящаяся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);
3)Необходимость информации для управленческой деятельности (информа-
ция, требующаяся для принятия управленческих решений, для организации производственной деятельности и обеспечения ее функционирования);
4)Необходимость информации для финансовой деятельности;
5)Необходимость информации для обеспечения функционирования социальной сферы;
6)Необходимость информации как доказательного источника на случаи воз-
25
никновения конфликтных ситуаций;
7) Важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.
Условия отнесения информации к защищаемой.
Критерии – лишь объективные показатели возможности отнесения информации к защищаемой.
Для реализации этой возможности в действительности необходимы следующие условия:
1)Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным. Перечни таких сведений содержатся в нескольких нормативных актах.
2)Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.
3)Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.
Принципы
Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности. Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениям
статей 5 и 7 Закона Российской Федерации «О государственной тайне» и законодательству Российской Федерации о государственной тайне. Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
26
Внастоящее время в российском законодательстве отсутствует общеправовое понятие тайны. В отечественной литературе при определении отдельных видов тайн имеются различные спорные, порой противоречивые точки зрения.
Взаконодательстве определяется понятие государственной, коммерческой, банковской тайны и тайны частной жизни.
Государственная тайна представляет собой защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Указанные в данном понятии сведения конкретизированы в Перечне сведений, отнесенных к государственной тайне
Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны;
Банковская тайна - Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. (ГОСТ
Р 50922-96)
Служебная тайна
Согласно Указу Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера» разница между служебной и коммерческой тайной состоит в том, что коммерческая тайна - это сведения, связанные с коммерческой деятельностью, а служебная тайна - служебные сведения, доступ к
которым ограничен органами государственной власти.
27
В соответствии с “Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти” к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничение
на распространение которой диктуется служебной необходимостью. Определен гриф конфиденциальности информации - «для служебного пользования».
Положением определен перечень информации, которая не может иметь статус ограниченного распространения:
1)акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы
иобязанности граждан, порядок их реализации;
2)сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
3)описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
4)порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
5)решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
6)сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
7)документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Перечень информации, составляющей служебную тайну, может, в частности, включать:
1)информацию о руководителях организации, других работниках (судимость, опыт работы, профессиональные знания, навыки и умения, деловые связи);
2)информацию о структуре управления производством, методику обучения персонала;
3)информацию об участии в капиталах других организаций, о вложении средств в ценные бумаги, на депозитные счета банков;
4)информацию об источниках финансирования; сведения о заключенных сделках, применяемых ценах; кредитоспособность данной организации; сведения
28
о системе организации охраны на предприятии; состояние материально-техниче- ской базы данной организации и др.
Таким образом, к служебной тайне, за исключением информации, составляющей государственную тайну, относится информация о деятельности государственных органов и их служащих, представляющая не коммерческий, а государственный интерес, а также иная конфиденциальная информация, составляющая частную, коммерческую тайну субъекта, полученная государственным органом в пределах своей компетенции для выполнения возложенных на него функций.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее - Закон об информации) относит служебную и профессиональную тайну к информации с ограниченным доступом.
Профессиональная тайна - общее название группы охраняемых законом тайн, необходимостьсоблюдения которых вытекает из доверительного характера отдельных профессий. К П.т. относятся, вчастности, адвокатская тайна, врачебная тайна, нотариальная тайна. П.т. следует отличать от служебнойтайны, обязанность соблюдения которой вытекает из интересов службы. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее - Закон об информации) относит служебную и профессиональную тайну к информации с ограниченным доступом.
Персональные данные
Законодательство в области персональных данных состоит из Федерального закона «О персональных данных» и других федеральных законов, определяющих случаи и особенности обработки персональных данных.
Предметом правового регулирования в области персональных данных являются отношения, связанные с обработкой этих данных с применением средств автоматизации или без их применения.
Исключение составляют отношения, возникающие:
1)в связи с обработкой персональных данных физическими лицами для личных и семейных нужд;
2)при формировании и использовании Архивного фонда Российской Федерации;
3)при формировании и использовании единого государственного реестра индивидуальных предпринимателей;
4)в случае, если эти данные составляют государственную тайну.
Под персональными данными понимается любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, про-
29
фессия, доходы, другая информация.
К особым категориям персональных данных относится информация о субъекте, касающаяся расы, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические данные.
Цель правового регулирования заключается в обеспечении защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайны. Основные угрозы безопасности этих прав и свобод заключаются в неправомерном использовании собираемых персональных данных государственными органами, органами местного самоуправления, юридическими и физическими лицами.
В целях противодействия указанной угрозе законодательно закрепляются:
1)принципы и условия обработки персональных данных и их конфиденциальность;
2)права субъектов персональных данных;
3)обязанности оператора при обработке персональных данных;
4)механизм контроля и надзора за соблюдением законодательства.
Основным условием обработки персональных данных является согласие субъекта этих данных, которое он дает своей волей и в своем интересе.
Согласие субъекта персональных данных не требуется в таких случаях:
1)как обязательное предоставление таких данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
2)обработка биометрических персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством о безопасности, оперативно-розыскной деятельности, государственной службе, уголов- но-исполнительным законодательством, законодательством о порядке выезда из РФ и въезда в нее;
3)обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
4)обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных;
5)обработка персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
30