2.
Нормативные правовые
акты Президента
Российской Федерации:
- "Об основах
государственной политики в сфере информатизации"
от 20.01.94 № 170;
- "Вопросы
межведомственной комиссии по защите
государственной тайны" от 20.01.96 № 71;
- "Об утверждении
перечня сведений конфиденциального характера"
от 06.03.97 № 188;
- "О некоторых
вопросах межведомственной комиссии по
защите государственной тайны" от 14.06.97
№ 594;
- "О перечне
сведений, отнесенных к государственной
тайне" от 24.01.98 № 61;
- "Вопросы
Государственной технической комиссии
при Президенте Российской Федерации"
от 19.02.99 № 212;
- "О концепции
национальной безопасности Российской
Федерации" от 10.01.2000 N 24;
- "Об утверждении
перечня должностных лиц органов государственной
власти, наделяемых полномочиями по отнесению
сведений к государственной тайне"
от 17.01.2000 N 6-рп;
- Доктрина
информационной безопасности Российской
Федерации от 09.09.2000 № ПР 1895.
3.
Нормативные правовые
акты Правительства
Российской Федерации:
- "Об установлении
порядка рассекречивания и продления
сроков засекречивания архивных документов
Правительства СССР" от 20.02.95 N 170;
- "О лицензировании
деятельности предприятий, учреждений
и организаций по проведению работ, связанных
с использованием сведений, составляющих
государственную тайну, созданием средств
защиты информации, а также с осуществлением
мероприятий и (или) оказанием услуг по
защите государственной тайны" от 15.04.95
N 333;
- "О
сертификации средств защиты информации"
от 26.06.95 N 608;
- "Об утверждении
правил отнесения сведений, составляющих
государственную тайну, к различным степеням
секретности" 04.09.95 N 870;
- "О подготовке
к передаче сведений, составляющих государственную
тайну, другим государствам" от 02.08.97
N 973;
- "О лицензировании
отдельных видов деятельности" от 11.04.00
N 326.
4.
Руководящие документы
Гостехкомиссии России:
- Концепция
защиты средств вычислительной техники
и автоматизированных систем от несанкционированного
доступа к информации;
- Временное
положение по организации разработки,
изготовления и эксплуатации программных
и технических средств защиты информации
от несанкционированного доступа в автоматизированных
системах и средствах вычислительной
техники;
- Средства
вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности
от несанкционированного доступа к информации;
- Автоматизированные
системы. Защита от несанкционированного
доступа к информации. Классификация автоматизированных
систем и требования по защите информации;
- Средства
вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа
к информации. Показатели защищенности
от несанкционированного доступа к информации;
- Защита информации.
Специальные защитные знаки. Классификация
и общие требования;
- Защита от
несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств
защиты информации. Классификация по уровню
контроля отсутствия недекларированных
возможностей.
5.
Уголовный кодекс
Российской Федерации.
7.
Методика реализации
политики безопасности
Первоочередными
мероприятиями по реализации государственной
политики обеспечения информационной
безопасности Российской Федерации
являются:
- разработка
и внедрение механизмов реализации правовых
норм, регулирующих отношения в информационной
сфере, а также подготовка концепции правового
обеспечения информационной безопасности
Российской Федерации;
- разработка
и реализация механизмов повышения эффективности
государственного руководства деятельностью
государственных средств массовой информации,
осуществления государственной информационной
политики;
- принятие
и реализация федеральных программ, предусматривающих
формирование общедоступных архивов информационных
ресурсов федеральных органов государственной
власти и органов государственной власти
субъектов Российской Федерации, повышение
правовой культуры и компьютерной грамотности
граждан, развитие инфраструктуры единого
информационного пространства России,
комплексное противодействие угрозам
информационной войны, создание безопасных
информационных технологий для систем,
используемых в процессе реализации жизненно
важных функций общества и государства,
пресечение компьютерной преступности,
создание информационно-телекоммуникационной
системы специального назначения в интересах
федеральных органов государственной
власти и органов государственной власти
субъектов Российской Федерации, обеспечение
технологической независимости страны
в области создания и эксплуатации информационно-телекоммуникационных
систем оборонного назначения;
- развитие
системы подготовки кадров, используемых
в области обеспечения информационной
безопасности Российской Федерации;
- гармонизация
отечественных стандартов в области информатизации
и обеспечения информационной безопасности
автоматизированных систем управления,
информационных и телекоммуникационных
систем общего и специального назначения.
Также
существует система обеспечения
информационной безопасности Российской
Федерации. Она предназначена для
реализации государственной политики
в данной сфере.
Основными
функциями системы обеспечения информационной
безопасности Российской Федерации являются:
- разработка
нормативной правовой базы в области обеспечения
информационной безопасности Российской
Федерации;
- создание
условий для реализации прав граждан и
общественных объединений на разрешенную
законом деятельность в информационной
сфере;
- определение
и поддержание баланса между потребностью
граждан, общества и государства в свободном
обмене информацией и необходимыми ограничениями
на распространение информации;
- оценка состояния
информационной безопасности Российской
Федерации, выявление источников внутренних
и внешних угроз информационной безопасности,
определение приоритетных направлений
предотвращения, отражения и нейтрализации
этих угроз;
- координация
деятельности федеральных органов государственной
власти и других государственных органов,
решающих задачи обеспечения информационной
безопасности Российской Федерации;
- предупреждение,
выявление и пресечение правонарушений,
связанных с посягательствами на законные
интересы граждан, общества и государства
в информационной сфере, на осуществление
судопроизводства по делам о преступлениях
в этой области;
- развитие
отечественной информационной инфраструктуры,
а также индустрии телекоммуникационных
и информационных средств, повышение их
конкурентоспособности на внутреннем
и внешнем рынке;
- проведение
единой технической политики в области
обеспечения информационной безопасности
Российской Федерации;
- организация
фундаментальных и прикладных научных
исследований в области обеспечения информационной
безопасности Российской Федерации;
- защита государственных
информационных ресурсов, прежде всего
в федеральных органах государственной
власти и органах государственной власти
субъектов Российской Федерации, на предприятиях
оборонного комплекса;
- обеспечение
контроля за созданием и использованием
средств защиты информации посредством
обязательного лицензирования деятельности
в данной сфере и сертификации средств
защиты информации;
- осуществление
международного сотрудничества в сфере
обеспечения информационной безопасности,
представление интересов Российской Федерации
в соответствующих международных организациях.
Компетенция
федеральных органов государственной
власти, органов государственной
власти субъектов Российской Федерации,
других государственных органов, входящих
в состав системы обеспечения информационной
безопасности Российской Федерации и
ее подсистем, определяется федеральными
законами, нормативными правовыми актами
Президента Российской Федерации и Правительства
Российской Федерации.
Функции
органов, координирующих деятельность
федеральных органов государственной
власти, органов
государственной власти субъектов Российской
Федерации, других государственных органов,
входящих в состав системы обеспечения
информационной безопасности Российской
Федерации и ее подсистем, определяются
отдельными нормативными правовыми актами
Российской Федерации.
8.
Угрозы и их показатели
Угроза
безопасности информации -
совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность, связанную с утечкой информации
и/или несанкционированными и/или непреднамеренными
воздействиями на нее
По
способам воздействия на объекты
информационной безопасности угрозы подлежат
следующей классификации: информационные,
программные, физические, радиоэлектронные
и организационно-правовые.
К информационным
угрозам относятся:
- несанкционированный
доступ к информационным ресурсам;
- незаконное
копирование данных в информационных
системах;
- хищение информации
из библиотек, архивов, банков и баз данных;
- нарушение
технологии обработки информации;
- противозаконный
сбор и использование информации;
- использование
информационного оружия.
К программным
угрозам относятся:
- использование
ошибок и "дыр" в ПО;
- компьютерные
вирусы и вредоносные программы;
- установка
"закладных" устройств;
К физическим угрозам
относятся:
- уничтожение
или разрушение средств обработки информации
и связи;
- хищение носителей
информации;
- хищение программных
или аппаратных ключей и средств криптографической
защиты данных;
- воздействие
на персонал;
К радиоэлектронным
угрозам относятся:
- внедрение
электронных устройств перехвата информации
в технические средства и помещения;
- перехват,
расшифровка, подмена и уничтожение информации
в каналах связи.
К организационно-правовым
угрозам относятся:
- закупки несовершенных
или устаревших информационных технологий
и средств информатизации;
- нарушение
требований законодательства и задержка
в принятии необходимых нормативно-правовых
решений в информационной сфере.
Словарь
терминов Гостехкомиссии определяет понятие
угроз национальной безопасности России
в информационной сфере следующим образом:
Угрозами
национальной безопасности
России в информационной
сфере являются:
- стремление
ряда стран к доминированию в мировом
информационном пространстве, вытеснению
России с внешнего и внутреннего информационного
рынка;
- разработка
рядом государств концепции информационных
войн, предусматривающей создание средств
опасного воздействия на информационные
сферы других стран мира; нарушение нормального
функционирования информационных и телекоммуникационных
систем; а также сохранности информационных
ресурсов, получения несанкционированного
доступа к ним.
К мерам противодействия
указанным угрозам необходимо отнести:
- постановку
и проведение научных исследований, направленных
на получение методик исследования программного
обеспечения и выявления закладных устройств;
- развитие
отечественной индустрии в области создания
и производства оборудования элементов
телекоммуникационных систем;
- минимизацию
числа иностранных фирм - поставщиков;
- координацию
действий по проверке надежности указанных
фирм;
- уменьшению
номенклатуры поставляемого оборудования;
- переходу
от поставок оборудования к поставкам
комплектующих на элементарном уровне;
- установлению
приоритета в использовании отечественных
средств защиты этих систем.
9.
Стандарты безопасности
Гостехкомиссии
РД
Гостехкомиссии России составляют основу
нормативной базы в области защиты от
НСД к информации в нашей стране. Наиболее
значимые из них, определяющие критерии
для оценки защищенности АС (СВТ), рассматриваются
ниже.
Критерии
для оценки механизмов защиты программно-технического
уровня, используемые при анализе защищенности
АС и СВТ, выражены в РД Гостехкомиссии
РФ "АС. Защита от НСД к информации. Классификация
АС и требования по защите информации"
и "СВТ. Защита от НСД к информации. Показатели
защищенности от НСД к информации".