опоиб. Информация как объект правоотношений
 Скачать 0.51 Mb.
|
10. Порядок допуска и доступа к государственной тайнеПорядок допуска к государственной тайне. Согласно ст. 2 Закона о государственной тайне допуск к государственной тайне – это процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений. Допуск организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими лицензий на проведение работ со сведениями соответствующей степени секретности. Лицензия выдается предприятиям при выполнении ими следующих условий: выполнение требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну; наличие подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны; наличие сертифицированных средств защиты информации. Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности только после оформления допуска по соответствующей форме в установленном порядке. Под доступом к сведениям понимается санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну. В соответствии со степенями секретности сведений, составляющих государственную тайну, устанавливаются следующие формы допуска: первая форма – для граждан, допускаемых к сведениям особой важности; вторая форма – для граждан, допускаемых к совершенно секретным сведениям; третья форма – для граждан, допускаемых к секретным сведениям. При этом наличие допуска к сведениям более высокой степени секретности является основанием для доступа к сведениям более низкой степени секретности. Порядок допуска должностных лиц и граждан к государственной тайне определяется Законом о государственной тайне, а также Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства РФ от 28.10.1995 г. № 1050 (далее – Инструкция о порядке допуска). Итак, допуск должностных лиц и граждан к государственной тайне осуществляется в добровольном порядке и предусматривает: 1. Принятие на себя гражданином или должностным лицом обязательств перед государством по нераспространению доверенных сведений, составляющих государственную тайну. 2. Согласие гражданина или должностного лица на частичные, временные ограничения прав. В соответствии со ст. 24 Закона о государственной тайне должностное лицо или гражданин, допущенные или ранее допускавшиеся к государственной тайне, могут быть временно ограничены в своих правах. Ограничения могут касаться: права выезда за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражданина к государственной тайне; права на распространение сведений, составляющих государственную тайну, и на использование открытий и изобретений, содержащих такие сведения; права на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне. Письменное согласие гражданина или должностного лица на проведение в его отношении проверочных мероприятий полномочными органами. Проверочные мероприятия, связанные с оформлением граждан по первой и второй формам допуска, осуществляются ФСБ РФ и ее территориальными органами во взаимодействии с органами, осуществляющими оперативно-розыскную деятельность (далее – органы безопасности). Допуск граждан по третьей форме, за исключением случаев, когда имеются обоснованные сомнения в достоверности данных, предоставленных гражданином, осуществляется руководителем организации без проведения проверочных мероприятий органами безопасности. Однако это не касается руководителей организаций, допуск которых оформляется только после проведения проверочных мероприятий органами безопасности (п. 6 Инструкции о порядке допуска). Объем проверочных мероприятий зависит от степени секретности сведений, к которым оформляется допуск. Проверка проводится с целью выявления оснований, которые могут послужить причиной отказа в допуске к государственной тайне. Согласно ст. 22 Закона о государственной тайне для гражданина или должностного лица такими основаниями являются: признание его судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления; наличие у него медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому федеральным органом исполнительной власти, уполномоченным в области здравоохранения и социального развития; постоянное проживание его самого и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное жительство в другие государства; выявление в результате проверочных мероприятий действий оформляемого лица, создающих угрозу безопасности Российской Федерации; уклонение его от проверочных мероприятий и (или) сообщение им заведомо ложных анкетных данных. Если при проверке обнаруживается хотя бы одно из указанных оснований, гражданину или должностному лицу должно быть отказано в допуске к государственной тайне. Решение об отказе принимается руководителем органа государственной власти, предприятия, учреждения или организации в индивидуальном порядке с учетом результатов проверочных мероприятий. Гражданин имеет право обжаловать это решение в вышестоящую организацию или в суд. Определение видов, размеров и порядка предоставления гражданину или должностному лицу социальных гарантий. Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливаются следующие социальные гарантии: преимущественное право при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий; процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым сотрудник имеет доступ; дополнительная процентная надбавка к заработной плате за стаж работы для сотрудников структурных подразделений по защите государственной тайны. Правила выплаты ежемесячных процентных надбавок к должностному окладу (тарифной ставке) граждан, допущенных к государственной тайне на постоянной основе, и сотрудников структурных подразделений по защите государственной тайны утверждены постановлением Правительства Российской Федерации от 18.02.2006 г. № 573 (ред. от 06.06.2008 г) «О предоставлении социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны». Данные гарантии отражаются в трудовом договоре (контракте) работника (должностного лица), заключаемом исключительно по окончании проведения проверочных мероприятий. 5. Ознакомление гражданина или должностного лица с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение. Должностные лица и граждане, виновные в нарушении законодательства Российской Федерации о государственной тайне, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством (ст. 26 Закона о государственной тайне). 6. Принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну. Следует учесть, что согласно ст. 25 Закона о государственной тайне руководители несут персональную ответственность за подбор лиц, допускаемых к сведениям, составляющим государственную тайну, а также за создание условий, при которых граждане знакомятся только с теми сведениями и в таких объемах, которые необходимы для выполнения ими должностных (функциональных) обязанностей. 11. Историческое развитие международных стандартов в сфере ИБ BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005. ISO/IEC 27000 — Словарь и определения. ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005. ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год. ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ. German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий). 12. Общие критерии безопасности ИТ.В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта в области оценки безопасности ИТ. Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. «Общие критерии» обобщили содержание и опыт использования «Оранжевой книги», развили уровни гарантированности европейских критериев, воплотили в реальные структуры концепцию профилей защиты «Федеральных критериев» США. В ОК проведена: - классификация широкого набора функциональных требовании и требовании доверия к безопасности; - определены структуры группирования; Как показывают оценки специалистов в области информационной безопасности, по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИТ, который может наращиваться и уточняться. В определенном смысле роль функциональных стандартов выполняют профили защиты, которые формируются с учетом рекомендаций и каталога требований ОК, но могут включать и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного изделия или типа изделий ИТ. Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности: • функциональные (security functional requirements ), соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам; • требования доверия к адекватности реализации функций безопасности (security assurance requirements), соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации. Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы. Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки (этапам создания и эксплуатации). Выделяются следующие этапы: • определение назначения, условий применения, целей и требований безопасности; • проектирование и разработка; • испытания, оценка и сертификация; • внедрение и эксплуатация. В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами. В свою очередь, угрозы характеризуются следующими параметрами: • источник угрозы; • метод воздействия; • уязвимые места, которые могут быть использованы; • ресурсы (активы), которые могут пострадать. Уязвимые места могут возникать из-за недостатка в: • требованиях безопасности; • проектировании; • эксплуатации. Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации. С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия: класс – семейство – компонент - элемент. Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности). Семейства в пределах класса различаются по строгости и другим нюансам требований. Компонент - минимальный набор требований, фигурирующий как целое. Элемент - неделимое требование. Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. В принципе, не все комбинации компонентов имеют практический смысл, и понятие зависимости в некоторой степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы. С помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности. Профиль защиты (ПЗ) - представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях). Задание по безопасности - содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности. Принципиально, что в ОК нет готовых классов защиты. Сформировать классификацию видов и методов защиты в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности. Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты. •Функциональный пакет - это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности. "Общие критерии" не регламентируют структуру пакетов, процедуры верификации, регистрации и т.п., отводя им роль технологического средства формирования ПЗ. Базовый профиль защиты - должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили - получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования. “Общие критерии” представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся: Введение и общая модель Функциональные требования безопасности 3 Требования к надежности защитных механизмов 4. Предопределенные профили защиты 5 Процедуры регистрации профилей защиты Предопределенные профили защиты содержат примеры профилей защиты, представляющие функциональные требования и требования к надежности, определенные в исходных критериях, включая TISЕС, СTСРЕС, FС и ТСSЕС, а также требования, не представленные в этих критериях. Четвертая часть "Общих критериев" является реестром профилей защиты, которые прошли процедуру регистрации. Этот реестр будет со временем пополнять по мере регистрации новых профилей защиты в соответствии" с процедурой регистрации, описанной в пятой части "Общих критериев". Новые профили защиты будут разрабатываться группами пользователей и поставщиками компьютерных приложений и оцениваться независимыми экспертами в соответствии с требованиями, выраженными в "Общих критериях". “Общие критерии" обобщили содержание и опыт использования "Оранжевой книги", развили Европейские и Канадские критерии, и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В "Общих критериях" проведена классификация широкого набора требований безопасности ИС, определены структуры их группирования и принципы использования. Главные достоинства "Общих критериев": - полнота требований безопасности и их систематизация; - гибкость в применении и открытость для последующего развития. При проведении работ по анализу защищенности ИС, «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности ИС с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы. Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится также определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности. По уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОКпредставляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИС, который может наращиваться и уточняться. Уже после принятия стандарта с учётом опыта его использования появился ряд интерпретаций ОК, которые после рассмотрения специальным Комитетом по интерпретациям (ССIМВ) принимаются, официально публикуются и вступают в силу как действующие изменения и дополнения к ОК. Параллельно с интерпретацией ведётся разработка версии 3.0 ОК. Соглашение о взаимном признании сертификатов В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The international Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в МRА правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты. Это, с одной стороны, является свидетельством признания международным сообществом ОК как единой методологической основы оценки безопасности ИТ, с другой стороны - демократичности самой организации. В настоящее время в рамках МRА в 6 странах действует 8 аккредитован ных органов по сертификации, имеющих право выдавать сертификаты соответствия ОК на продукты и системы ИТ, а также около 30 аккредитованных в этих странах органов оценки, которые к настоящему времени провели в рамках ОК оценку и сертификацию более 20 продуктов и систем ИТ. Появление соглашения МRА ориентирует разработчиков на единые критерии, которым должны соответствовать их продукты ИТ, а также расширяет возможности выбора сертифицированных продуктов ИТ для потребителей. В мае 2000 года было подписано более универсальное (по сравнению с МКА) Соглашение о признании сертификатов ОК (Аrrangementon the Recognition of Common Criteria Certificates; CCRA) В настоящее время к странам, присоединившимся к международному Соглашению о признании ОК, относятся США, страны ЕС, Россия, Япония. |