ответы. Правовое обеспечение информационной безопасности Структура информационной сферы и характеристика ее элементов
 Скачать 232.13 Kb.
|
26. Понятие приватизации государственного и муниципального имущества. Соотношение приватизации и национализации. Деприватизация.Приватизация гос. и мун. имущества (ФЗ «О приватизации гос. и мун. имущества») - возмездное отчуждение имущества, находящегося в собственности РФ (федеральное имущество), субъектов РФ, МО, в собственность физических и (или) юридических лиц. Приватизация - форма преобразования собственности, представляющая собой процесс передачи (полной или частичной) государственной (муниципальной) собственности в частные руки. Национализация - передача в собственность государства земли, промышленных предприятий, банков, транспорта или другого имущества, принадлежащего частным лицам. Национализация может осуществляться через безвозмездную экспроприацию - конфискацию, а также через полный или частичный выкуп - реквизицию. Согласно ст. 235 ГК РФ национализация проводится в порядке, установленном ФЗ. Поскольку такой закон в настоящее время не принят, национализация в России проводиться не может. Однако на практике это относится лишь к безвозмездной национализации. Полный или частичный выкуп государством вполне возможен на основании обычных договоров купли/продажи. Деприватизация (расприватизация) - отказ от права собственности на недвижимость, возврат гражданами государству своего права собственности на жилье. Права на пожизненное проживание в этом жилье сохраняются. То есть деприватизация - действие, обратное приватизации. Деприватизировать жилье граждане могут в соответствии с Законом РФ «О приватизации жилищного фонда в РФ». Решив деприватизировать квартиру, каждый руководствуется своими причинами. Самая распространенная - нежелание выполнять возложенные на собственника обязательства. Другая причина - ущемление прав одного из собственников, если у квартиры несколько хозяев. 24.Виды деятельности в информационной сфере, подлежащие лицензированию. 1) разработка авиационной техники, в том числе авиационной техники двойного назначения. Под разработкой авиационной техники, в том числе авиационной техники двойного назначения, понимаются научно - исследовательские, опытно - конструкторские и экспериментальные работы по созданию, модификации и модернизации изделий авиационной техники, включая средства наземного обслуживания летательных аппаратов, мелкосерийное изготовление, а также авторские надзор и сопровождение изделий при производстве, эксплуатации и ремонте, вплоть до списания; 2) производство авиационной техники, в том числе авиационной техники двойного назначения. Под производством авиационной техники, в том числе авиационной техники двойного назначения, понимаются мелкосерийное и серийное изготовление изделий авиационной техники, включая средства наземного обслуживания летательных аппаратов, запасных частей, а также гарантийный надзор, гарантийное и техническое обслуживание изделий; 3) ремонт авиационной техники, в том числе авиационной техники двойного назначения. Под ремонтом авиационной техники, в том числе авиационной техники двойного назначения, понимаются работы и услуги по восстановлению летной годности авиационной техники после ее повреждения или износа; 4) испытание авиационной техники, в том числе авиационной техники двойного назначения. Под испытаниями авиационной техники, в том числе авиационной техники двойного назначения, понимаются наземные, в том числе стендовые, и летные испытания, которые проводятся по договорам специализированными организациями в порядке оказания услуг сторонним организациям. Порядок лицензирования названных видов деятельности установлен Постановлением Правительства Российской Федерации от 27 мая 2002 года №346 «Об утверждении положений о лицензировании деятельности в области авиационной техники»..Лицензирующим органом в отношении указанных видов деятельности является Федеральное агентство по промышленности (Постановление Правительства Российской Федерации от 8 апреля 2004 года №190 «Вопросы Федерального агентства по промышленности»). Обратите внимание, лицензирование перечисленных видов деятельности прекращается со дня вступления в силу соответствующих технических регламентов, устанавливающих обязательные требования к лицензируемым видам деятельности (пункт 7 статьи 18 Закона о лицензировании); 5) деятельность по распространению шифровальных (криптографических) средств. К шифровальным (криптографическим) средствам относятся: а) средства шифрования - аппаратные, программные и аппаратно - программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении; б) средства имитозащиты - аппаратные, программные и аппаратно - программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации; в) средства электронной цифровой подписи - аппаратные, программные и аппаратно - программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи; г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций; д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации); 6) деятельность по техническому обслуживанию шифровальных (криптографических) средств. Деятельность по техническому обслуживанию шифровальных (криптографических) средств включает в себя: а) монтаж, установку, наладку шифровальных (криптографических) средств; б) ремонт, сервисное обслуживание шифровальных (криптографических) средств; в) утилизацию и уничтожение шифровальных (криптографических) средств; г) работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд); 7) предоставление услуг в области шифрования информации. Деятельность по предоставлению услуг в области шифрования информации включает в себя: а) шифрование информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц; б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц; в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну; г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну; 8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем. Лицензируемая деятельность включает в себя: а) разработку шифровальных (криптографических) средств; б) разработку защищенных с использованием шифровальных (криптографических) средств информационных систем; в) разработку защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем; г) производство шифровальных (криптографических) средств; д) изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах. Порядок лицензирования названных видов деятельности установлен Постановлением Правительства Российской Федерации от 23 сентября 2003 года №691 «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Лицензирование указанных видов деятельности осуществляет ФСБ Российской Федерации (Постановление Правительства №45); 14) разработка вооружения и военной техники; 15) производство вооружения и военной техники; 16) ремонт вооружения и военной техники; 25.Правовая регламентация лицензионной деятельности в области защиты информации. Основным правовым документом, регламентирующим деятельность в сфере лицензирования является ФЗ РФ «Лицензирование отдельных видов деятельности». Лицензия – специальное разрешение на осуществление конкретного вида деятельности при соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю. С целью обеспечения деятельности по лицензированию, создана система государственного лицензирования, в том числе в области ЗИ. Образуют: гос. органы лицензирования, лицензионные центры, предприятия-заявители. Для получения лицензии в лицензирующий орган предоставляется пакет документов: · заявление · учредительные документы · перечень имеющегося на предприятии производственного испытательного и контрольно-измерительного оборудования · перечень имеющейся на предприятии нормативно-методической документации, необходимой для лицензирования · сведения о квалификации персонала · Материалы экспертизы · другие документы... Лицензия дается на определенный срок (касаемо ЗИ – не более 5 лет, далее – процедура продления). 26.Объекты лицензирования в сфере защиты информации. Действующее законодательство определяет два направления деятельности, это: - деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) - деятельность по разработке и производству средств защиты конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями. При осуществлении деятельности по технической защите конфиденциальной информации объектом лицензирования являются следующие виды работ и услуг: а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в: средствах и системах информатизации; технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается; помещениях со средствами (системами), подлежащими защите; помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения); б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации); г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; д) проектирование в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации). При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации объектом лицензирования являются следующие виды работ: а) разработка средств защиты конфиденциальной информации, в том числе: технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации; б) производство средств защиты конфиденциальной информации, в том числе: технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации. 27.Специальные экспертизы и государственная аттестация руководителей. Основными задачами аттестации руководителей являются: оценка результатов деятельности руководителей и установление соответствия занимаемым ими должностям; повышение их ответственности за результаты работы, состояние трудовой и исполнительской дисциплины, обеспечение безопасных условий труда в возглавляемой аттестуемым государственной организации; выявление кандидатур в резерв на выдвижение. Аттестация руководителей проводится не реже одного раза в три года, если не установлен иной срок. Основанием для проведения аттестации руководителей является приказ, которым устанавливаются: - сроки и график проведения аттестации; - список руководителей, подлежащих аттестации; - состав аттестационной комиссии, ее председатель, заместитель председателя, секретарь. Приказ о проведении аттестации руководителей доводится до сведения аттестуемых не позднее чем за один месяц до начала аттестации. На каждого аттестуемого не позднее чем за 10 дней до начала проведения аттестации в аттестационную комиссию представляются: - аттестационная характеристика в 2 экземплярах, подписанная Министром либо уполномоченным им заместителем; - аттестационный лист в 2 экземплярах; - должностная инструкция; Аттестуемый должен быть ознакомлен с аттестационной характеристикой не позднее чем за 7 дней до начала проведения аттестации. Заседания аттестационной комиссии проводятся в соответствии с графиком проведения аттестации при наличии большинства членов аттестационной комиссии. Аттестационная комиссия: рассматривает материалы, представленные на аттестуемого; заслушивает сообщение аттестуемого о работе и его ответы на вопросы членов аттестационной комиссии. Аттестация руководителя проводится в присутствии аттестуемого. В случае неявки руководителя на заседание аттестационной комиссии по уважительной причине его аттестация проводится в дополнительные дни, предусмотренные графиком. На заседании аттестационной комиссии ведется протокол, который подписывается председателем комиссии и секретарем. По результатам аттестации руководителя аттестационная комиссия тайным голосованием принимает одно из следующих решений: соответствует занимаемой должности; соответствует занимаемой должности при условии улучшения работы и выполнения рекомендаций комиссии с повторной аттестацией через год; не соответствует занимаемой должности. Аттестационная комиссия может давать рекомендации об улучшении работы аттестуемого, о зачислении его в резерв для выдвижения на вышестоящую должность. Решение аттестационной комиссии считается принятым, если за него проголосовало большинство присутствующих на ее заседании членов комиссии. При равенстве голосов решение принимается в пользу аттестуемого. По итогам аттестации заполняется аттестационный лист, в который заносятся решение и рекомендации аттестационной комиссии (при их наличии) Аттестационный лист подписывается председателем, секретарем и членами аттестационной комиссии, принимавшими участие в голосовании. Результаты аттестации объявляются аттестуемому непосредственно после проведения тайного голосования. Аттестационный лист и аттестационная характеристика руководителя хранятся в личном деле аттестуемого. 28.Органы лицензирования и их полномочия. Лицензирующие органы осуществляют следующие полномочия: предоставление лицензий; переоформление документов, подтверждающих наличие лицензий; приостановление действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий и возобновление действия лицензий; ведение реестров лицензий, предоставление заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании; контроль за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий; обращение в суд с заявлениями об аннулировании лицензий. Порядок осуществления полномочий лицензирующих органов устанавливается положениями о лицензировании конкретных видов деятельности. Лицензирование фармацевтической деятельности осуществляют следующие лицензирующие органы: а) Федеральная служба по надзору в сфере здравоохранения - в части деятельности, осуществляемой: организациями оптовой торговли лекарственными средствами для медицинского применения; - аптечными организациями, подведомственными федеральным органам исполнительной власти, государственным академиям наук; б) Федеральная служба по ветеринарному и фитосанитарному надзору - в части деятельности, осуществляемой в сфере обращения лекарственных средств для ветеринарного применения; в) органы исполнительной власти субъектов Российской Федерации - в части деятельности, осуществляемой в сфере обращения лекарственных средств для медицинского применения (за исключением лицензирования фармацевтической деятельности в части, осуществляемой Федеральной службой по надзору в сфере здравоохранения). 29.Контроль за соблюдением лицензиатами условий ведения деятельности. Организации и индивидуальные предприниматели, получившие лицензию, обязаны неукоснительно соблюдать предусмотренные законом и соответствующими положениями лицензионные требования и условия. Орган государственной власти, выдавший лицензию, вправе посредством проведения плановых и внеплановых проверок осуществлять контроль за соблюдением лицензиатами установленных требований и условий. Если выявлено, что лицензиат нарушает соответствующие положения законодательства, то лицензирующий орган имеет право возбудить дело об административном правонарушении, а также принять меры, направленные на приостановление и аннулирование лицензии. Порядок приостановления и аннулирования лицензий в последние годы неоднократно изменялся с целью уточнения соответствующих полномочий судов общей юрисдикции, арбитражных судов и лицензирующих органов. Действие лицензии приостанавливается лицензирующим органом в следующих случаях: 1) привлечение лицензиата к административной ответственности за неисполнение в установленный срок предписания об устранении грубого нарушения лицензионных требований, выданного лицензирующим органом; 2) назначение лицензиату административного наказания в виде административного приостановления деятельности за грубое нарушение лицензионных требований. Действие лицензии приостанавливается на срок исполнения вновь выданного предписания или на срок административного приостановления деятельности лицензиата. Лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии, если лицензиат не устранил грубое нарушение лицензионных требований в установленный судом или ответственным должностным лицом срок административного приостановления деятельности и приостановления действия лицензии либо в установленный лицензирующим органом срок исполнения вновь выданного предписания. Лицензия аннулируется по решению суда на основании рассмотрения заявления лицензирующего органа об аннулировании лицензии. 30.Понятие сертификации по российскому законодательству. В соответствии с Законом о защите прав потребителей (ст. 7, п. 4): "Товары, на которые законами или стандартами установлены требования, обеспечивающие безопасность жизни, здоровья потребителя и охрану окружающей среды и предотвращение причинения вреда имуществу потребителя, а также средства, обеспечивающие безопасность жизни и здоровья потребителя, подлежат обязательной сертификации в установленном порядке". Ввозимая на территорию России продукция, подлежащая обязательной сертификации, должна соответствовать требованиям российской системы сертификации (система ГОСТ Р). При оформлении договоров (контрактов) на такую продукцию в них должно быть предусмотрено требование о наличии сертификата и знака соответствия, выданных на основании действующего порядка. 31.Правовая регламентация сертификационной деятельности в области защиты информации. . Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135). Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии. Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: · государственные органы по лицензированию; · лицензионные центры; · предприятия-заявители. Государственные органы по лицензированию: · организуют обязательное государственное лицензирование деятельности предприятий; · выдают государственные лицензии предприятиям-заявителям; · согласовывают составы экспертных комиссий, представляемые лицензионными центрами; · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации. Лицензионные центры: · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ; · планируют и проводят работы по экспертизе предприятий-заявителей; · контролируют полноту и качество выполненных лицензиатами работ. Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации. Лицензированию ФСТЭК России подлежат: · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности; · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации; · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации; · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ; · проектирование объектов в защищенном исполнении. На орган по лицензированию возлагается: · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования; · осуществление научно-методического руководства лицензионной деятельностью; · публикация необходимых сведений о системе лицензирования; · рассмотрение заявлений организаций и воинских частей о выдаче лицензий; · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации; · согласование состава экспертных комиссий; · организация и проведение специальных экспертиз; · принятие решения о выдаче лицензии; · выдача лицензий; · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании; · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий; · приобретение, учет и хранение бланков лицензий; · организация работы аттестационных центров; · осуществление контроля за полнотой и качеством проводимых лицензиатами работ. В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации): · деятельность по распространению шифровальных (криптографических) средств; · деятельность по техническому обслуживанию шифровальных (криптографических) средств; · предоставление услуг в области шифрования информации; · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них: · Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; · Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»; · Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности. Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения. Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий: должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу; хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон. Такой режим может быть обеспечен системой из нескольких открытых ключей. Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств. Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся: · принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности; · выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности; · обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности. Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время. Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию. Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным. Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов. Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным. Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК( ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений. Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось. С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает: · приведение национальных и отраслевых стандартов в соответствие с международными; · участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях); · возможность признания в России международных сертификатов. Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства. ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов. 1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации. 2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»– описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации. 3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда. 4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа. 5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы. 6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран. На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации. 32.Правовые основы защиты информации с использованием технических средств |