питання:

1. Законодавчі та інші правові акти, що регулюють питання захисту інформації.

2. Структура системи захисту інформації в суб'єктах РФ.

3. Загальна структура нормативно-методичних документів ФСТЕК Росії (Гостехкомиссии Росії) в галузі ТЗІ обмеженого доступу.

література:

1. Будніков С.А., Паршин Н.В. Інформаційна безпека автоматизованих систем: Навч. посібник - Воронеж, ЦПКС ТЗІ 2009.

2. Бєлов О.Б. та ін. Основи інформаційної безпеки: Навчальний посібник. - М .: Гаряча лінія - Телеком, 2005.

3. Запечніков С.В. та ін. Інформаційна безпека відкритих систем. Частина 1: Підручник для вузів. - М .: Гаряча лінія - Телеком, 2006.

4. Закон Російської Федерації від 28.12.2010 № 390 «Про безпеку».

5. Федеральний закон від 27.07.2006 № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації».

6. Указ Президента Російської Федерації від 6 березня 1997 № 188 «Про затвердження Переліку відомостей конфіденційного характеру».

Інтернет ресурси:

1. http://ict.edu.ru

1. Законодавчі та інші правові акти, що регулюють питання захисту інформації

Сучасний етап розвитку системи забезпечення інформаційної безпеки держави і суспільства характеризується переходом від тотального приховування великого обсягу відомостей до гарантованої захищеності принципово важливих даних, що забезпечує:

конституційні права і свободи громадян, підприємств і організацій в сфері інформатизації;

необхідний рівень безпеки інформації, що підлягає захисту;

захищеність систем формування і використання інформаційних ресурсів (технологій, систем обробки та передачі інформації).

Ключовим моментом політики держави в даній області є усвідомлення необхідності захисту будь-яких інформаційних ресурсів та інформаційних технологій, неправомірне поводження з якими може завдати шкоди їх власнику, власнику, користувачеві або іншій особі.

Нормативні акти правового регулювання питань інформатизації та захисту інформації в Російській Федерації включають:

Ø Закони Російської Федерації

Ø Укази Президента Російської Федерації і затверджуються цими указами нормативні документи

Ø Постанови Уряду Російської Федерації і затверджуються цими постановами нормативні документи (Положення, Переліки тощо)

Ø Державні та галузеві стандарти

Ø Положення, Порядки. Керівні документи та інші нормативні і методичні документи уповноважених державних органів (ФСТЕК Росії, ФАПСИ, ФСБ).

Федеральні закони і інші нормативні акти передбачають:

поділ інформації на категорії вільного і обмеженого доступу, причому інформація обмеженого доступу поділяється на:

ü віднесену до державної таємниці;

ü віднесену до службової таємниці (інформацію для службового користування), персональні дані (і інші види таємниць);

ü і іншу інформацію, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві або іншій особі;

правовий режим захисту інформації, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі, що встановлюється:

ü щодо відомостей, віднесених до державної таємниці, -уполномоченнимі державними органами на підставі Закону Російської Федерації "Про державну таємницю" (від 21.07.93 р N 5485-1);

ü щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі Закону Російської Федерації "Про інформацію, інформатизації і захисту інформації" (від 20.02.95 р N 24-ФЗ);

ü щодо персональних даних - окремим федеральним законом;

ліцензування діяльності підприємств, установ і організацій в області захисту інформації;

атестування автоматизованих інформаційних систем, що обробляють інформацію з обмеженим доступом на відповідність вимогам безпеки інформації при проведенні робіт з відомостями відповідного ступеня конфіденційності (секретності);

сертифікацію засобів захисту інформації і засобів контролю ефективності захисту, використовуваних в ІС;

покладання вирішення питань організації ліцензування, атестації та сертифікації на органи державного управління в межах їх компетенції, визначеної законодавством Російської Федерації;

створення автоматизованих інформаційних систем в захищеному виконанні і спеціальних підрозділів, що забезпечують захист інформації з обмеженим доступом, що є власністю держави, а також здійснення контролю захищеності інформації та надання прав забороняти або припиняти обробку інформації у разі невиконання вимог щодо забезпечення її захисту;

визначення прав і обов'язків суб'єктів у сфері захисту інформації.

2. Структура системи захисту інформації в суб'єктах РФ

Структура і основні функції державної системи захисту інформації від її витоку технічними каналами та організація робіт із захисту інформації визначено в "Положенні про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок і від її витоку технічними каналами", затвердженому Постановою Уряду від 15 вересня 1993 № 912-51.

Цим Положенням передбачається, що заходи щодо захисту інформації, що обробляється технічними засобами, є складовою частиною управлінської, наукової та виробничої діяльності установ і підприємств і здійснюються у взаємозв'язку з іншими заходами щодо забезпечення встановленого федеральними законами "Про інформацію, інформатизації і захисту інформації" та "Про державну таємницю "комплексу заходів щодо захисту відомостей, що становлять державну та службову таємницю.

У той же час ці заходи є складовою частиною робіт по створенню і експлуатації систем інформатизації установ і підприємств, які мають такою інформацією, і повинні здійснюватися в установленому нормативними документами порядку у вигляді системи захисту секретної інформації.

Основні завдання державної системи захисту інформації:

1. Проведення єдиної технічної політики, організація і координація робіт із захисту інформації в оборонній, економічній, політичній, науково-технічній та інших сферах діяльності.

2. Виключення або істотне утруднення добування інформації технічними засобами розвідки, а також запобігання її витоку технічними каналами, несанкціонованому доступу до неї, попередження навмисних спеціальних програмно-технічних впливів на інформацію з метою її руйнування, знищення, перекручення або блокування в процесі обробки, передачі і зберігання.

3. Прийняття в межах компетенції нормативно-правових актів, що регулюють відносини у сфері захисту інформації.

4. Загальна організація сил, створення засобів захисту інформації і засобів контролю ефективності її захисту.

5. Контроль за проведенням робіт із захисту інформації в органах державного управління, об'єднаннях, на підприємствах, в організаціях та установах (незалежно від форм власності).

Державну систему захисту інформації очолює Федеральна служба з технічного та експортного контролю Російської Федерації (ФСТЕК РФ). Відповідно до Положення про ФСТЕК РФ, затвердженим Указом Президента Російської Федерації від 16 серпня 2004 р N 1085, ФСТЕК Росії є федеральним органом виконавчої влади, що здійснює реалізацію державної політики, організацію міжвідомчої координації та взаємодії, спеціальні і контрольні функції у сфері державної безпеки по питань (http://www.fstec.ru):

1) забезпечення безпеки (некріптографіческімі методами) інформації в системах інформаційної та телекомунікаційної інфраструктури, що роблять істотний вплив на безпеку держави в інформаційній сфері, в тому числі в функціонуючих в складі критично важливих об'єктів Російської Федерації інформаційних системах і телекомунікаційних мережах, деструктивні інформаційні впливи на які можуть привести до значних негативних наслідків;

2) протидії іноземним технічним розвідкам на території Російської Федерації;

3) забезпечення захисту (некріптографіческімі методами) інформації, яка містить відомості, що становлять державну таємницю, іншої інформації з обмеженим доступом, запобігання її витоку технічними каналами, несанкціонованому доступу до неї, спеціальних дій на інформацію (носії інформації) з метою її добування, знищення, спотворення і блокування доступу до неї на території Російської Федерації;

4) захисту інформації при розробці, виробництві, експлуатації та утилізації неінформаційних випромінюючих комплексів, систем і пристроїв;

5) здійснення експортного контролю.

Мал. 1. Структура державної системи захисту інформації РФ

Відповідно до Закону Російської Федерації "Про федеральних органах урядового зв'язку і інформації", до основних функцій Федерального агентства урядового зв'язку та інформації при Президентові Російської Федерації (ФАПСИ) в даній області належить:

1) здійснення координації діяльності з питань безпеки інформаційно-аналітичних мереж, комплексів технічних засобів баз даних;

2) здійснення координації діяльності в області розробки, виробництва і постачання шифрувальних засобів та обладнання спеціального зв'язку, щодо забезпечення криптографічного та інженерно-технічної безпеки шифрованого зв'язку.

Федеральним законом від 03.04.95 р N 40-ФЗ "Про органи Федеральної служби безпеки в Російській Федерації" до компетенції ФСБ в даній області віднесені наступні питання:

1) участь в розробці та реалізації заходів щодо захисту відомостей, що становлять державну таємницю;

2) здійснення контролю за забезпеченням збереження відомостей, що становлять державну таємницю, в державних органах, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності;

3) здійснення заходів, пов'язаних з допуском громадян до відомостей, що становлять державну таємницю.

2. Загальна структура нормативно-методичних документів ФСТЕК Росії в галузі ТЗІ обмеженого доступу

2.1. ліцензування

Законодавство Російської Федерації передбачає встановлення Урядом РФ порядку ведення ліцензійної діяльності, переліку видів діяльності, на здійснення яких потрібна ліцензія, і органів, уповноважених на ведення ліцензійної діяльності.

У Федеральному законі від 8.08.2001 року № 128-ФЗ «Про ліцензування окремих видів діяльності», який набрав чинності з лютого 2002 року, до Переліку видів діяльності, на здійснення яких потрібна ліцензія, включені:

Ø діяльність з розповсюдження шифрувальних (криптографічних) коштів;

Ø діяльність з технічного обслуговування шифрувальних (криптографічних) коштів;

Ø надання послуг в області шифрування інформації;

Ø розробка, виробництво шифрувальних (криптографічних) коштів, захищених з використанням шифрувальних (криптографічних) засобів інформаційних систем, телекомунікаційних систем;

Ø діяльність з видачі сертифікатів ключів електронного цифрового підпису, реєстрації власників електронних цифрових підписів, надання послуг, пов'язаних з використанням електронних цифрових підписів, і підтвердження достовірності електронних цифрових підписів;

Ø діяльність з розробки та (або) виробництва засобів захисту конфіденційної інформації;

Ø діяльність з технічного захисту конфіденційної інформації;

Ø діяльність з виявлення електронних пристроїв, призначених для негласного отримання інформації, в приміщеннях і технічних засобах (за винятком випадку, якщо зазначена діяльність здійснюється для забезпечення власних потреб юридичної особи або індивідуального підприємця).

2.2. Сертифікація засобів захисту і атестування об'єктів інформатизації

Конкретні засоби і заходи захисту інформації повинні розроблятися і застосовуватися в залежності від рівня конфіденційності і цінності інформації, а також від рівня можливого збитку в разі її витоку, знищення, модифікації або блокування.

В даний час в Держстандарті Росії зареєстровано три системи сертифікації засобів захисту:

Ø (ФСТЕК Росії) система сертифікації засобів захисту інформації за вимогами безпеки інформації № РОСС RU. OOO 1. O 1БІ OO;

Ø (ФАПСИ) система сертифікації засобів криптографічного захисту інформації (система сертифікації ЗКЗІ) № РОСС RU .0001.030001;

Ø (ФСБ) система обов'язкової сертифікації засобів захисту інформації за вимогами безпеки для відомостей, що становлять державну таємницю (система сертифікації СЗІ - ГТ) № РОСС RU .0001.

Крім того, системи сертифікації засобів захисту розробляються (є) в Міністерстві Оборони РФ і Службі зовнішньої розвідки РФ.

Необхідною складовою державної системи забезпечення інформаційної безпеки є Державні стандарти та інші нормативно-технічні та методичні документи з безпеки інформації, затверджені федеральними органами державного управління відповідно до їх компетенції, і визначають норми захищеності інформації та вимоги в різних напрямках захисту інформації.

До основних стандартів і нормативно-технічних документів з питань забезпечення безпеки інформації, відповідно до вимог яких здійснюється сертифікація продукції та атестація об'єктів інформатизації за вимогами безпеки інформації, сертифікація засобів криптографічного захисту інформації, відносяться:

1) в області захисту інформації від несанкціонованого доступу:

Ø комплект керівних документів ФСТЕК Росії, які відповідно до Закону "Про стандартизацію" можна віднести до галузевих стандартів, в тому числі:

ü "Захист від несанкціонованого доступу до інформації. Терміни та визначення";

ü "Концепція захисту ЗОТ і АС від несанкціонованого доступу до інформації";

ü "Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація АС і вимоги щодо захисту інформації";

ü "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності СВТ";

ü "Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації";

ü "Тимчасове положення з організації розробки, виготовлення і експлуатації програмних і технічних засобів захисту інформації від несанкціонованого доступу в АС і СВТ";

ü "Засоби антивірусного захисту. Показники захищеності і вимоги щодо захисту від вірусів";

ü "Захист від несанкціонованого доступу до інформації. Програмне забезпечення СЗІ. Класифікація за рівнем контролю відсутності декларованих можливостей";

Ø ГОСТ Р 50739-95 "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги"

Ø ГОСТ Р 50922-96 «Захист інформації. Основні терміни та визначення »та інші.

2) в області захисту інформації від витоку за рахунок побічних електромагнітних випромінювань і наведень (ПЕМВН):

Ø "Норми ефективності захисту АСУ та ЕОМ від витоку інформації за рахунок ПЕМВН" (Рішення Голови Гостехкомиссии СРСР, 1977р.);

Ø "Спеціальні вимоги і рекомендації щодо захисту інформації, що становить державну таємницю, від витоку технічними каналами" (рішення Гостехкомиссии Росії від 23.05.97 р № 55)

Ø ГОСТ 29339-92 "Інформаційна технологія. Захист інформації від витоку за рахунок ПЕМВН при її обробці засобами обчислювальної техніки. Загальні технічні вимоги";

Ø ГОСТ Р 50752-95 "Інформаційна технологія. Захист інформації від витоку за рахунок побічних електромагнітних випромінювань при її обробці засобами обчислювальної техніки. Методи випробувань";

Ø методики контролю захищеності об'єктів ЕОТ та інші.

3) в області криптографічного перетворення інформації при її зберіганні і передачі по каналах зв'язку:

Ø ГОСТ 28147-89 "Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення";

Ø ГОСТ Р 34.10-94 «Процедури вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму»;

Ø ГОСТ Р 34.10-2001 «Інформаційна технологія. Криптографічний захист інформації. Процеси формування та перевірки електронного цифрового підпису »;

Ø ГОСТ Р 34.11 -94 «Функція хешування»;

Ø "Положення про розробку, виготовлення і забезпеченні експлуатації шифрувальної техніки, систем зв'язку і комплексів озброєння, що використовують шифрувальну техніку" (ПШ-93);

Ø Положення «Про порядок розробки, виробництва, реалізації та використання засобів криптографічного захисту інформації з обмеженим доступом, яка не містить відомостей, що становлять державну таємницю» (ПКЗ-99);

Ø «Інструкція про організацію та забезпечення безпеки зберігання, обробки і передачі по каналах зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, яка не містить відомостей, що становлять державну таємницю» (Введена наказом ФАПСИ від 13 червня 2001 року N 152).

2.3. атестація

При проведенні робіт з відомостями відповідного ступеня конфіденційності (секретності) системи інформатизації повинні (можуть) бути атестовані на відповідність вимогам безпеки інформації.

Державна система атестації об'єктів інформатизації встановлює основні принципи, організаційну структуру, порядок проведення атестації, а також порядок контролю та нагляду за експлуатацією атестованих об'єктів інформатизації.

Система атестації об'єктів інформатизації за вимогами безпеки інформації є складовою частиною єдиної державної системи сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації. Діяльність системи атестації організовують уповноважені федеральні органи з сертифікації продукції та атестації об'єктів інформатизації за вимогами безпеки інформації.

Під атестацією об'єктів інформатизації розуміється комплекс організаційно-технічних заходів, в результаті яких за допомогою спеціального документа "Атестату відповідності" підтверджується, що об'єкт відповідає вимогам стандартів або інших нормативно-технічних документів з безпеки інформації, затверджених ФСТЕК Росії. Наявність на об'єкті інформатизації чинного "Атестату відповідності" дає право обробки інформації з певним рівнем конфіденційності та в зазначений у "атестат відповідності" період часу.

Обов'язковою атестації підлягають об'єкти інформатизації, призначені для обробки інформації, що становить державну таємницю, управління екологічно небезпечними об'єктами, ведення секретних переговорів.

В інших випадках атестація носить добровільний характер (добровільна атестація) і може здійснюватися з ініціативи замовника або власника об'єкта інформатизації.

При атестації об'єкта інформатизації підтверджується його відповідність вимогам щодо захисту інформації від несанкціонованого доступу, в тому числі від комп'ютерних вірусів, від витоку за рахунок побічних електромагнітних випромінювань і наведень при спеціальних впливах на об'єкт (високочастотне нав'язування і опромінення, електромагнітне і радіаційний вплив), від витоку або впливу на неї за рахунок спеціальних пристроїв, вбудованих в об'єкти інформатизації.

Атестація проводиться уповноваженими органами з атестації об'єктів інформатизації. Органи по атестації акредитуються ФСТЕК Росії. Правила акредитації визначаються чинним в системі "Положенням про акредитацію органів з атестації об'єктів інформатизації за вимогами безпеки інформації". Кожен такий орган має ліцензію ФСТЕК Росії на право виконання робіт в області захисту інформації та Атестат акредитації. Види робіт, які він може виконувати, вказуються в області акредитації, що є додатком до Атестату акредитації. У своїй діяльності органи з атестації керуються нормативно-методичними документами ФСТЕК Росії.

Атестат відповідності затверджується керівником органу з атестації об'єктів інформатизації, який і несе юридичну і фінансову відповідальність за якість проведених робіт. Крім того, органи з атестації несуть відповідальність за забезпечення схоронності державних і комерційних секретів, а також за дотримання авторських прав розробників атестуються об'єктів інформатизації та їх компонент.