Правовое обеспечение информационной безопасности


Вводная часть.
(Понятие информационной безопасности, государственная система защиты информации, государственные регуляторы в сфере информационной безопасности, их функции и полномочия, понятие защиты информации, виды защиты информации по российским стандартам)


Исходные определения


«Безопасность - это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» (ФЗ «О безопасности»).

Безопасность организации - стабильно прогнозируемое во времени состояние самой организации и окружения, при котором возможно выполнение целевой функции (миссии) организации без перерывов и нарушений.

Угроза безопасности организации - потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить устойчивость, развитие или привести к прекращению ее деятельности.

Угрозы безопасности организации принято разделять на внешние и внутренние. Внутренние угрозы определяются социальной напряженностью, моральным климатом в коллективе и т.д. Внешние угрозы определяются экономическими условиями, действиями злоумышленников, стихийными бедствиями и т.д.

Угрозы объектам безопасности также можно разделить на угрозы персоналу, информации, финансам, инфраструктуре.

Угрозы персоналу – это причинение моральных и физических страданий, похищения, угрозы, психологическое воздействие, шантаж, вымогательство.

Угрозы информации - ознакомление с конфиденциальной информацией, нарушение целостности, ограничение доступа.

Угрозы финансам – хищение, мошенничество и пр.

Угрозы материальным ресурсам – это повреждение зданий, оборудования, технических средств, хищение, уничтожение, материальных средств.

Понятие информации

Информация - сведения (сообщения, данные) независимо от формы их представления (ФЗ «Об информации…»).

Информация - снятая неопределенность (Клод Шеннон).

Информация - разность между признаковыми структурами объекта после и до взаимодействия с другими объектами.

Информация - сведения о событии или состоянии реальной действительности, позволяющие принимать решения, которые ведут к достижению цели предметной деятельности организации.

Источники информации

Источник информации - материальный объект, носитель предметных сведений организации. Источником информации может быть персонал организации, документы, публикации, технические носители, технические средства обеспечения предметной деятельности.

Средства обеспечения предметной деятельности организации делятся на основные технические средства и системы (передачи, обработки и хранения информации, ОТСС) и вспомогательные технические средства и системы.

К ОТСС относятся:

1. Средства проводной и радиосвязи

2. Средства вычислительной техники и передачи данных

3. Средства звукоусиления (громкоговорящей связи), звукозаписи, звуковоспроизведения и синхронного перевода.

4. Системы промышленного телевидения

5. Средства изготовления копирования и размножения документов

К вспомогательным техническим средствам и системам относятся:

1. Системы радиофикации

2. Системы единого времени

3. Звукозаписывающая аппаратура

4. Бытовая радиоприемная и телевизионная аппаратура

5. Бытовые электроприборы:

- электрические часы;

- холодильники;

- светильники;

- кондиционеры и т.п.

Информационная безопасность (защищенность) включает в себя:

- защищенность личности, общества, государства от воздействия недоброкачественной информации;

- защищенность информационных прав и свобод личности;

- защищенность информации, информационных ресурсов от различных вредоносных воздействий.

Если же говорить об информационной безопасности в более узком смысле, то она включает в себя отсутствие нарушений конфиденциальности, целостности и доступности информации.

Действия и события, нарушающие информационную безопасность

1. Разглашение

2. Утечка

3. Несанкционированный доступ

К разглашению относятся умышленные или неосторожные действия сотрудников, приведшие к ознакомлению с конфиденциальной информацией не допущенных лиц. Разглашение информации выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и иных способах, реализуется по каналам распространения и СМИ.

Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка возможна по следующим каналам: визуально-оптическим, акустическим, электромагнитным, материально-вещественным.

Несанкционированный доступ – это противоправное преднамеренное ознакомление с конфиденциальной информацией не допущенных лиц, нарушение целостности и доступа к защищаемой информации. Реализуется путем сотрудничества, склонения к сотрудничеству, выведывания, подслушивания, наблюдения, хищения, копирования, подделки, уничтожения, подключения, перехвата, негласного ознакомления, фотографирования, сбора и аналитической обработки.

Каналы распространения информации – средство обмена деловой и научной информацией между субъектами деловых и личных отношений. Каналы распространения информации делятся на неформальные и формальные. К неформальным каналам относятся личное общение (встречи, переговоры, переписка), СМИ, выставки, семинары, конференции и другие массовые мероприятия. К формальным каналам можно отнести деловые встречи, совещания, переговоры, обмен официальными документами, средства передачи официальной информации.

На рисунке ниже схематически изображен канал утечки конфиденциальной информацию.

Виды защиты информации по ГОСТ Р 50922-06

«Защита информации. Основные термины и определения»


- Правовая защита информации;

- Техническая защита информации;

- Криптографическая защита информации;

- Физическая защита информации.

Предметом правового регулирования в сфере обеспечения информационной безопасности являются:

- правовой режим информации, средств и методов обеспечения информационной безопасности;

- правовой статус участников правоотношений в сфере обеспечения информационной безопасности;

- порядок отношений субъектов в части обеспечения информационной безопасности.

Нормативные документы организации, в которых должны быть отражены вопросы обеспечения информационной безопасности:

- устав организации;

- учредительный договор;

- коллективный договор;

- правила внутреннего трудового распорядка;

- трудовые договора с сотрудниками;

- должностные обязанности;

- специальные нормативные документы (положения, инструкции);

- иные индивидуальные акты (приказы распоряжения);

- договоры со сторонними организациями.

Задачи защиты информации

Основными задачами защиты информации являются:

- обеспечение безопасности информации и борьба с угрозами информации путем прогнозирования, выявления, предотвращения, нейтрализации, пресечения, локализации, отражения и уничтожения;

- восстановление объектов безопасности, подвергшихся воздействию угроз;

- уменьшение последствий реализации угроз;

-возмещение ущерба.

Дополнительными задачами защиты информации являются:

- выявление причин и условий, способствующих возникновению и реализации угроз;

- создание и управление системой информационной безопасности.

Прикладные задачи защиты информации

- Защита информации от разглашения;

- Защита информации от утечки по техническим каналам;

- Защита информации от несанкционированного доступа;

- Защита информации, передаваемой по каналам связи;

- Физическая защита объектов;

- Контроль защищенности информации;

- Сертификация средств защиты информации на соответствие требованиям по безопасности информации.

Систему защиты информации можно схематически представить в виде рисунка:

Государственную систему защиты информации (ГСЗИ) можно представить в виде схемы:

К законодательству, регулирующему функционирование государственной системы защиты информации относятся:

- Конституция Российской Федерации;

- ФЗ «О безопасности»;

- ФЗ «О государственной тайне»;

- ФЗ «Об информации, информационных технологиях и защите информации»;

- Доктрина информационной безопасности Российской Федерации;

- Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (утв. Постановлением Совета Министров - Правительства РФ от 15.09.1993 № 912-51);

- Указы Президента Российской Федерации (например, № 1085 от 16.8.2004 г. «Вопросы ФСТЭК»);

- Постановления Правительства Российской Федерации (например, от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»);

- Другие правовые акты федеральных органов власти в области защиты информации.


Направления работ по защите информации

(по положению о ГСЗИ РФ от иностранной технической разведки

и от утечки ее по техническим каналам)


- Обеспечение эффективного управления системой защиты информации;

- Определение состава охраняемых сведений и демаскирующих признаков;

- Анализ и оценка угроз безопасности информации;

- Разработка организационно-технических мероприятий по защите информации.

- Организация и проведение контроля состояния защиты информации.

Основные задачи ГСЗИ от технической разведки

- проведение единой технической политики, организация и координация работ по защите информации в различных сферах деятельности государства;

- исключение или существенное затруднение добывания информации техническими средствами разведки;

- принятие правовых актов, регулирующих отношения в области защиты информации;

- анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирования системы информационного обмена сведениями по осведомленности иностранных разведок;

- организация сил, создание средств защиты информации и контроля за ее эффективностью;

- контроль состояния защиты информации в органах государственной власти и на предприятиях.

Классификация нарушений технической защиты информации

Невыполнение требований или норм по защите информации

1. Есть реальная возможность утечки информации по техническим каналам.

2. Есть предпосылки к утечке информации по техническим каналам

3. Невыполнение иных требований по защите информации

Органы государственной системы защиты информации

1. Федеральный уровень защиты

- Межведомственная комиссия по защите государственной тайны;

- Органы федеральной исполнительной власти и их подразделения;

- ФСТЭК России;

- ФСБ России;

- МВД России;

- МЧС России.

2. Уровень защиты субъектов федерации

- Органы исполнительной власти субъектов федерации и их подразделения

3. Локальный уровень защиты

- Структурные подразделения и специалисты по защите информации предприятий

Направления деятельности ФСТЭК России

- Защита информационной критически важной инфраструктуры;

- Противодействие иностранным техническим разведкам;

- Защита (некриптографическими методами) информации, содержащей государственную тайну;

- Защита информации о неинформационных излучающих системах и устройствах;

- Экспортный контроль.

Организационные мероприятия по

технической защите информации

- Лицензирование деятельности по защите государственной тайны;

- Специальная экспертиза предприятия;

- Аттестация руководителей предприятий;

- Контроль за соблюдением лицензионных условий;

- Сертификации средств защиты информации;

- Аттестация объектов информатизации.




Твитнуть
Поделиться