Правовое обеспечение информационной безопасности


Исходные определения


Безопасность - это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» (ФЗ «О безопасности»).

Безопасность организации - стабильно прогнозируемое во времени состояние самой организации и окружения, при котором возможно выполнение целевой функции (миссии) организации без перерывов и нарушений.

Угроза безопасности организации - потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить устойчивость, развитие или привести к прекращению ее деятельности.

Угрозы безопасности организации принято разделять на внешние и внутренние. Внутренние угрозы определяются социальной напряженностью, моральным климатом в коллективе и т.д. Внешние угрозы определяются экономическими условиями, действиями злоумышленников, стихийными бедствиями и т.д.

Угрозы объектам безопасности также можно разделить на угрозы персоналу, информации, финансам, инфраструктуре.

Угрозы персоналу – это причинение моральных и физических страданий, похищения, угрозы, психологическое воздействие, шантаж, вымогательство.

Угрозы информации - ознакомление с конфиденциальной информацией, нарушение целостности, ограничение доступа.

Угрозы финансам – хищение, мошенничество и пр.

Угрозы материальным ресурсам – это повреждение зданий, оборудования, технических средств, хищение, уничтожение, материальных средств.


Понятие информации


Информация - сведения (сообщения, данные) независимо от формы их представления (ФЗ «Об информации…»).

Информация - снятая неопределенность (Клод Шеннон).

Информация - разность между признаковыми структурами объекта после и до взаимодействия с другими объектами.

Информация - сведения о событии или состоянии реальной действительности, позволяющие принимать решения, которые ведут к достижению цели предметной деятельности организации.


Источники информации


Источник информации - материальный объект, носитель предметных сведений организации. Источником информации может быть персонал организации, документы, публикации, технические носители, технические средства обеспечения предметной деятельности.

Средства обеспечения предметной деятельности организации делятся на основные технические средства и системы (передачи, обработки и хранения информации - ОТСС) и вспомогательные технические средства и системы.

К ОТСС относятся:

  1. Средства проводной и радиосвязи
  2. Средства вычислительной техники и передачи данных
  3. Средства звукоусиления (громкоговорящей связи), звукозаписи, звуковоспроизведения и синхронного перевода.
  4. Системы промышленного телевидения
  5. Средства изготовления копирования и размножения документов

К вспомогательным техническим средствам и системам относятся:

  1. Системы радиофикации
  2. Системы единого времени
  3. Звукозаписывающая аппаратура
  4. Бытовая радиоприемная и телевизионная аппаратура
  5. Бытовые электроприборы:

    электрические часы;

    холодильники;

    светильники;

    кондиционеры и т.п.

Информационная безопасность (защищенность) включает в себя:

Если же говорить об информационной безопасности в более узком смысле, то она включает в себя отсутствие нарушений конфиденциальности, целостности и доступности информации.


Действия и события, нарушающие информационную безопасность


  1. Разглашение
  2. Утечка
  3. Несанкционированный доступ

К разглашению относятся умышленные или неосторожные действия сотрудников, приведшие к ознакомлению с конфиденциальной информацией не допущенных лиц. Разглашение информации выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и иных способах, реализуется по каналам распространения и СМИ.

Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка возможна по следующим каналам: визуально-оптическим, акустическим, электромагнитным, материально-вещественным.

Несанкционированный доступ – это противоправное преднамеренное ознакомление с конфиденциальной информацией не допущенных лиц, нарушение целостности и доступа к защищаемой информации. Реализуется путем сотрудничества, склонения к сотрудничеству, выведывания, подслушивания, наблюдения, хищения, копирования, подделки, уничтожения, подключения, перехвата, негласного ознакомления, фотографирования, сбора и аналитической обработки.

Каналы распространения информации – средство обмена деловой и научной информацией между субъектами деловых и личных отношений. Каналы распространения информации делятся на неформальные и формальные. К неформальным каналам относятся личное общение (встречи, переговоры, переписка), СМИ, выставки, семинары, конференции и другие массовые мероприятия. К формальным каналам можно отнести деловые встречи, совещания, переговоры, обмен официальными документами, средства передачи официальной информации.

На рисунке ниже схематически изображен канал утечки конфиденциальной информацию.


Виды защиты информации по ГОСТ Р 50922-06 «Защита информации. Основные термины и определения»


Предметом правового регулирования в сфере обеспечения информационной безопасности являются:

Нормативные документы организации, в которых должны быть отражены вопросы обеспечения информационной безопасности:


Задачи защиты информации


Основными задачами защиты информации являются:

Дополнительными задачами защиты информации являются:


Прикладные задачи защиты информации


Систему защиты информации можно схематически представить в виде рисунка:



Государственную систему защиты информации (ГСЗИ) можно представить в виде схемы:



К законодательству, регулирующему функционирование государственной системы защиты информации относятся:

  1. Конституция Российской Федерации;
  2. ФЗ «О безопасности»;
  3. ФЗ «О государственной тайне»;
  4. ФЗ «Об информации, информационных технологиях и защите информации»;
  5. Доктрина информационной безопасности Российской Федерации;
  6. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (утв. Постановлением Совета Министров - Правительства РФ от 15.09.1993 № 912-51);
  7. Указы Президента Российской Федерации (например, № 1085 от 16.8.2004 г. «Вопросы ФСТЭК»);
  8. Постановления Правительства Российской Федерации (например, от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»);
  9. Другие правовые акты федеральных органов власти в области защиты информации.

Направления работ по защите информации (по положению о ГСЗИ РФ от иностранной технической разведки и от утечки ее по техническим каналам)


Основные задачи ГСЗИ от технической разведки


Классификация нарушений технической защиты информации


  1. Есть реальная возможность утечки информации по техническим каналам.
  2. Есть предпосылки к утечке информации по техническим каналам
  3. Невыполнение иных требований по защите информации

Органы государственной системы защиты информации


  1. Федеральный уровень защиты

    Межведомственная комиссия по защите государственной тайны;

    Органы федеральной исполнительной власти и их подразделения;

    ФСТЭК России;

    ФСБ России;

    МВД России;

    МЧС России.

  2. Уровень защиты субъектов федерации

    Органы исполнительной власти субъектов федерации и их подразделения

  3. Локальный уровень защиты

    Структурные подразделения и специалисты по защите информации предприятий


Направления деятельности ФСТЭК России



Организационные мероприятия по технической защите информации


  1. Лицензирование деятельности по защите государственной тайны;
  2. Специальная экспертиза предприятия;
  3. Аттестация руководителей предприятий;
  4. Контроль за соблюдением лицензионных условий;
  5. Сертификации средств защиты информации;
  6. Аттестация объектов информатизации.