- •Роль и место информационной безопасности в системе национальной безопасности Российской Федерации.
- •2. Конституционные основы обеспечения безопасности. Законы рф о безопасности личности и государства, о праве граждан на информацию.
- •Глава 28 Уголовного кодекса Российской Федерации
- •3. Виды нормативно-правовых актов Иерархия нормативно-правовых актов в области зи
- •Доктрина информационной безопасности российской федерации
- •I. Информационная безопасность Российской Федерации
- •II. Методы обеспечения информационной безопасности
- •III. Основные положения государственной политики
- •IV. Организационная основа системы
- •I. Общие положения
- •II. Государственная система защиты информации
- •III. Организация защиты информации в системах и средствах информатизации
- •Ui. Контроль состояния защиты информации
- •Uii. Финансирование мероприятий по защите информации
- •Российская федерация федеральный закон об информации, информатизации и защите информации
- •Глава 1. Общие положения
- •Глава 2. Информационные ресурсы
- •Глава 3. Пользование информационными ресурсами
- •Глава 4. Информатизация, информационные системы, технологии и средства их обеспечения
- •Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации
- •Российская федерация закон о безопасности
- •Раздел I. Общие положения
- •Раздел II. Система безопасности российской федерации
- •Раздел III. Совет безопасности российской федерации
- •Раздел IV. Финансирование деятельности по обеспечению безопасности
- •Раздел V. Контроль и надзор за деятельностью по обеспечению безопасности
- •Президент российской федерации
- •"О коммерческой тайне"
Тема 9. Современная нормативная база по защите информации; состав защищаемой информации; федеральные службы организующие защиту информации , полномочия органов власти, специальных федеральных органов и предприятий в области защиты информации.
Лекция 16. Законодательство Российской Федерации в в области информационной деятельности и деятельности по защите информации
Учебные вопросы:
1. Правовые основы обеспечения информационной безопасности личности, общества и государства. Государственная политика в области обеспечения национальной безопасности. Роль и место информационной безопасности в системе национальной безопасности.
2. Конституционные основы обеспечения безопасности. Законы РФ о безопасности личности и государства, о праве граждан на информацию.
3. Виды нормативно-правовых актов. Иерархия нормативно-правовых актов в области ЗИ
Введение
Современный этап развития общества характеризуется возрастающей ролью его информационной сферы, представляющей собой совокупность информационных ресурсов, информационной инфраструктуры, системы формирования, распространения, использования информации и регулирования возникающих при этом общественных отношений.
Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации.
Под информационной безопасностью Российской Федерации понимается состояние защищенности жизненно важных интересов граждан, общества и государства в информационной сфере.
Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.
Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы. Увеличивается зависимость объектов этой сферы от полноты и достоверности используемой ими информации, своевременности ее получения, защищенности сведений, составляющих коммерческую тайну.
1. Правовые основы обеспечения информационной безопасности личности, общества и государства. Государственная политика в области обеспечения национальной безопасности. Роль и место информационной безопасности в системе национальной безопасности.
1. Государственная политика в области обеспечения безопасности личности, общества и государства от внешних и внутренних угроз с учетом имеющихся ресурсов и возможностей сформулирована в Концепции национальной безопасности, утвержденной 17.12.1997 Президентом РФ.
В Концепции сформулированы важнейшие направления и принципы государственной политики.
2. Основными направлениями обеспечения национальной безопасности Российской Федерации являются стратегические национальные приоритеты, которыми определяются задачи важнейших социальных, политических и экономических преобразований для создания безопасных условий реализации конституционных прав и свобод граждан Российской Федерации, осуществления устойчивого развития страны, сохранения территориальной целостности и суверенитета государства.
3. Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.
Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации до 2020 года и Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года.
4. Настоящая Стратегия является базовым документом по планированию развития системы обеспечения национальной безопасности Российской Федерации, в котором излагаются порядок действий и меры по обеспечению национальной безопасности. Она является основой для конструктивного взаимодействия органов государственной власти, организаций и общественных объединений для защиты национальных интересов Российской Федерации и обеспечения безопасности личности, общества и государства.
5. Основная задача настоящей Стратегии состоит в формировании и поддержании силами обеспечения национальной безопасности внутренних и внешних условий, благоприятных для реализации стратегических национальных приоритетов.
6. В настоящей Стратегии используются следующие основные понятия:
"национальная безопасность" - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;
"национальные интересы Российской Федерации" - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;
"угроза национальной безопасности" - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;
"стратегические национальные приоритеты" - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;
"система обеспечения национальной безопасности" - силы и средства обеспечения национальной безопасности;
"силы обеспечения национальной безопасности" - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;
"средства обеспечения национальной безопасности" - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.
7. Силы и средства обеспечения национальной безопасности сосредоточивают свои усилия и ресурсы на обеспечении национальной безопасности во внутриполитической, экономической, социальной сферах, в сфере науки и образования, в международной, духовной, информационной, военной, оборонно-промышленной и экологической сферах, а также в сфере общественной безопасности.
IV. Обеспечение национальной безопасности Российской Федерации
Основными направлениями деятельности государства и общества по обеспечению национальной безопасности Российской Федерации являются:
в частности, определение критериев национальной безопасности и их пороговых значений, выработка комплекса мер и механизмов обеспечения национальной безопасности в сферах экономики, внешней и внутренней политики, общественной безопасности и правопорядка, обороны, в информационной и духовной сферах;
Одной из важнейших задач обеспечения национальной безопасности Российской Федерации является:
укрепление безопасности государства в оборонной и информационной сферах;
Основными принципами обеспечения национальной безопасности Российской Федерации являются:
единство, взаимосвязь и сбалансированность всех видов безопасности, изменение их приоритетности в зависимости от ситуации; приоритетность политических, экономических, информационных мер обеспечения национальной безопасности;
В современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности Российской Федерации в информационной сфере.
Роль и место информационной безопасности в системе национальной безопасности Российской Федерации.
Современный этап развития общества характеризуется возрастающей ролью его информационной сферы, представляющей собой совокупность информационных ресурсов, информационной инфраструктуры, системы формирования, распространения, использования информации и регулирования возникающих при этом общественных отношений.
Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации.
Под информационной безопасностью Российской Федерации понимается состояние защищенности жизненно важных интересов граждан, общества и государства в информационной сфере.
Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.
Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы. Увеличивается зависимость объектов этой сферы от полноты и достоверности используемой ими информации, своевременности ее получения, защищенности сведений, составляющих коммерческую тайну.
Обороноспособность и безопасность государства находятся в прямой зависимости от качества добываемой информации, уровня информационных технологий, защищенности систем обработки информации и связи, используемых органами разведки, контрразведки, радиоэлектронной борьбы, управления войсками и оружием.
Являясь самостоятельной составляющей национальной безопасности, информационная безопасность, в то же время, оказывает непосредственное влияние на защищенность интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Доктрина информационной безопасности РФ
Доктрина информационной безопасности Российской Федерации была утверждена 9 сентября 2000 года президентом Российской Федерации. В ней под информационной безопасностью понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Доктрине выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:
1. Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
2. Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
3. Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
4. Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Соответственно, по своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
1. угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
2. угрозы информационному обеспечению государственной политики Российской Федерации;
3. угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
4. угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
В соответствии с Доктриной общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Основными организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
· создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
· выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
· создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
· выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
· сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
· контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
· формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
· разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
· совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Угрозы информационной безопасности и их классификация
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.
Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:
должно стать известно о средствах использования пробела в защите;
должны быть выпущены соответствующие заплаты;
заплаты должны быть установлены в защищаемой ИС.
Новые уязвимые места и средства их использования появляются постоянно и это значит, что почти всегда существуют окна опасности и отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - оперативно.
Угрозы можно классифицировать по нескольким критериям:
по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
по расположению источника угроз (внутри/вне рассматриваемой ИС).
Основные угрозы доступности
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений. Поэтому доступность выделяется как важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется в различных системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Самыми частыми являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.
Другие угрозы доступности можно классифицировать по компонентам ИС, на которые нацелены угрозы:
отказ пользователей;
внутренний отказ информационной системы;
отказ поддерживающей инфраструктуры.
Обычно применительно к пользователям рассматриваются следующие угрозы:
нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).
Основными источниками внутренних отказов являются:
отступление (случайное или умышленное) от установленных правил эксплуатации;
выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
ошибки при конфигурировании системы;
отказы программного и аппаратного обеспечения;
разрушение данных;
разрушение или повреждение аппаратуры.
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
разрушение или повреждение помещений;
невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие, так как потенциально могут нанести вред организации-"обидчику", например:
испортить оборудование;
встроить логическую бомбу, которая со временем разрушит программы и/или данные;
удалить данные.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.
Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы.
Угрозы доступности могут выглядеть грубо - как повреждение или даже разрушение оборудования. Такое повреждение может вызываться естественными причинами (чаще всего - грозами), опасны протечки водопровода и отопительной системы, поломки кондиционеров в сильную жару. Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранятся небрежно.
В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно - полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю или, например, количество подключившихся пользователей ограничено ресурсами системы. Примером удаленного потребления ресурсов являются DoS-атаки – атаки на отказ в обслуживании.
Основные угрозы целостности
Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений. Соответствующие действия в сетевой среде называются активным прослушиванием. С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:
ввести неверные данные;
изменить данные.
Например, заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль. Последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность. Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой недопустимо. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО - пример подобного нарушения.
Основные угрозы конфиденциальности
Конфиденциальность – это защита от несанкционированного доступа к информации.
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе. Невозможно помнить много разных паролей; рекомендации по их регулярной смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым и угадываемым паролям.
Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена необходимая защита. В этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п).
Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их не составляет труда.
Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных.
Опасной нетехнической угрозой конфиденциальности являются такие методы как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.
К угрозам, от которых трудно защититься, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности.