Методичка. Учебно пособие организационное и правовое обеспечение
Скачать 0.73 Mb.
|
1. Правовое обеспечение информационной безопасности РФ 1.1. Доктрина информационной безопасности Правовое обеспечение информационной безопасности РФ основано на двух документах Концепции национальной безопасности РФ, утвержденной Указом Президента РФ от 17 декабря 1997 г. № 1300 и Доктрине информационной безопасности РФ от 9 сентября 2000г. Концепция национальной безопасности РФ - система взглядов на обеспечение безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие направления государственной политики РФ. Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере. Национальная безопасность РФ зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации и ее использования. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере. Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества. Выделяются четыре основные составляющие национальных интересов РФ в информационной сфере. Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. Вторая составляющая включает в себя информационное обеспечение государственной политики РФ. Третья составляющая включает в себя развитие современных информационных технологий. Четвертая составляющая включает в себя защиту информационных ресурсов и телекоммуникационных систем на территории России. Рассмотрим основные положения этого документа. Виды угроз информационной безопасности РФ. По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды: угрозы конституционным правам и свободам человека; угрозы информационному обеспечению государственной политики РФ; угрозы развитию индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Состояние информационной безопасности РФ и основные задачи по ее обеспечению. За последние годы в РФ реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Сформирована база правового обеспечения информационной безопасности. Приняты Законы РФ “О государственной тайне”, Основы законодательства РФ об Архивном фонде РФ и архивах, “Об информации, информационных технологиях и о защите информации”, “О техническом регулировании”, ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Успешному решению вопросов обеспечения информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации. Тем не менее, уровень информационной безопасности РФ в настоящее время не соответствует потребностям общества и государства. Нет четкости при проведении государственной политики в области формирования российского информационного пространства. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну в результате массового ухода наиболее квалифицированных специалистов. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной Методы обеспечения информационной безопасности РФ. Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере. Организационно-техническими методами обеспечения информационной безопасности РФ являются: -создание и совершенствование системы обеспечения информационной безопасности РФ; -разработка и совершенствование средств защиты информации; -сертификация средств защиты информации, и лицензирование деятельности в области защиты информации. Экономические методы обеспечения информационной безопасности РФ включают в себя: -разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; -создание системы страхования информационных рисков физических и юридических лиц. Особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни. Информационная безопасность РФ является одной из составляющих национальной безопасности РФ и оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства. В сфере экономики. В сфере внутренней политики. В сфере внешней политики. В области науки и техники. В сфере духовной жизни. В общегосударственных информационных и телекоммуникационных системах. В сфере обороны. В правоохранительной и судебной сферах. В условиях чрезвычайных ситуаций. Международное сотрудничество РФ в области обеспечения информационной безопасности. Международное сотрудничество РФ в области обеспечения информационной безопасности - неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая РФ. Основные положения государственной политики обеспечения информационной безопасности РФ. Государственная политика обеспечения информационной безопасности РФ определяет основные направления деятельности органов власти РФ в этой области, порядок закрепления их обязанностей по защите интересов РФ в информационной сфере и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности РФ. -разработка и внедрение механизмов реализации правовых норм; -разработка и реализация механизмов повышения эффективности осуществления государственной информационной политики; -принятие и реализация федеральных программ комплексного противодействия угрозам и информационным войнам. Основные элементы организационной основы системы обеспечения информационной безопасности РФ. Основными элементами организационной основы системы обеспечения информационной безопасности РФ являются: Президент РФ, Совет Федерации Федерального Собрания РФ, Государственная Дума Федерального Собрания РФ, Правительство РФ, Совет Безопасности РФ, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом РФ и Правительством РФ, органы исполнительной власти субъектов РФ, органы местного самоуправления, органы судебной власти, общественные объединения и граждане РФ. Для обеспечения защиты информации ограниченного доступа действует Государственная система защиты информации в РФ (ГСЗИ), которая включает: -совокупность органов (ФСБ, ФСТЭК, СВР), сил и средств, осуществляющих деятельность в области защиты информации (ЗИ); -систему лицензирования деятельности в области ЗИ; -систему сертификации средств ЗИ; -систему подготовки и переподготовки специалистов в области ЗИ. 1.2. Правовая основа системы лицензирования и сертификации в РФ Лицензирование - это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования. Лицензия - документ, дающий право на осуществление указанного вида деятельности в течении определенного времени. Перечень видов деятельности в области ЗИ, на которые выдаются лицензии, определен Постановлением Правительства РФ - “О лицензировании отдельных видов деятельности” от 24.12.94 №1418 к ним, в частности, относится разработка, производство, реализация и сервисное обслуживание: -шифровальных средств; -защищенных систем телекоммуникаций; -программных средств; -специальных технических средств ЗИ. А также подготовка и переподготовка кадров. Сертификация - это подтверждение соответствия продукции или услуг установленным требованиям или стандартам. Сертификат - документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации. Законодательной и нормативной базой лицензирования и сертификации в области ЗИ являются законы РФ: -“О государственной тайне” от 21.07.93 №5485-1; -“О техническом регулировании” от 27 декабря 2002 г. N 184-ФЗ; -“О лицензировании отдельных видов деятельности”, от 8.08 2001г. №128 (ред. от 11.03.2003г. №32); -“О защите прав потребителей” от 07.02.92 №2300-1; Постановления Правительства РФ: -“О лицензировании отдельных видов деятельности” от 24 12 94 №1418; -“О лицензировании деятельности предприятий...” от 15.04.95 №333; -“О сертификации средств ЗИ” от 26.06.95 №608. -“О лицензировании… от 27.05.2002 №348. -“О лицензировании… от 30.04.2002 №290, (ред. №64 от 6.02.2003). А также Указы Президента РФ, и ряд подзаконных актов. 1.3. Лицензирования деятельности по защите государственной тайны Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона "О государственной тайне". Основные положений данной статьи: - лицензия выдается только на основании результатов специальной экспертизы (проверки готовности организации к работе со сведениями, составляющими государственную тайну); - в структуре организации должно быть подразделения по защите государственной тайны (ГТ) и специально подготовленные сотрудники; - организация должна иметь сертифицированные средства защиты информации; - необходима государственная аттестация руководителей организации, ответственных за защиту государственных секретов. Постановлением Правительства РФ №333 утверждено Положение о лицензировании деятельности предприятий, в котором установлено, что: -лицензия разрешает осуществление конкретного вида деятельности в течение установленного срока на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей; -органами, уполномоченными на ведение лицензионной деятельности, являются: по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - Федеральная служба безопасности Российской Федерации (ФСБ) и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (СВР) (за рубежом); на право проведения работ, связанных с созданием средств защиты информации – Федеральная служба технического и экспортного контроля (ФСТЭК), ФСБ; на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ, ФСТЭК, СВР. Лицензирование деятельности предприятий ФСБ, МО (министерства обороны), СВР и ФСТЭК по допуску к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств Российской Федерации, которым подчинены указанные предприятия. Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия. Основанием для отказа в выдаче лицензии является: наличие в представленных документах недостоверной или искаженной информации; отрицательное заключение экспертизы; отрицательное заключение по результатам государственной аттестации руководителя предприятия. Специальные экспертизы предприятий выполняются по следующим направлениям: -режим секретности; -противодействие иностранной технической разведке; -защита информации от утечки по техническим каналам. Экспертные комиссии формируются при ФСБ, ФСТЭК и их органах на местах и аттестационных центрах. Принципы лицензирования: 1. Лицензирование в области защиты ГТ является обязательным. 2. Деятельность в области ЗИ лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей гражданского и уголовного кодексов к нарушителям). 3. Лицензии на право деятельности в области ЗИ выдаются только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить указанным требованиям). 4. Лицензии выдаются только предприятиям, зарегистрированным на территории РФ на основании специальной экспертизы заявителя. Для получения лицензии предприятие обязано предъявить следующий перечень документов. К заявлению на получение лицензии необходимо приложить следующие документы: -копия свидетельства о государственной регистрации предприятия; -копии учредительных документов, заверенных нотариусом; -копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности; -справка налогового органа о постановке на учет; -представление органов государственной власти РФ с ходатайством о выдаче лицензии; -документ, подтверждающий оплату рассмотрения заявления. Проведение экспертизы осуществляется экспертными комиссиями Лицензионного центра либо аттестационными центрами. Например, коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации предъявляются требования по: наличию и составу необходимых аппаратно-программных средств и помещений; размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ; обеспечению режима и порядка доступа к средствам криптографической ЗИ; обеспечению необходимой технической и эксплуатационной документацией; уровню квалификации и подготовленности специалистов в области защиты и эксплуатации АС; режиму эксплуатации и хранения средств криптографической ЗИ. Государственная аттестация руководителей ответственных за ГТ. Основная цель государственной аттестации – повысить компетентность руководителей в части обеспечения сохранности сведений, составляющих государственную тайну. Документом, по организации государственной аттестации руководителей является «Инструкция о порядке проведения государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну», утвержденная Председателем Гостехкомиссии России 17.10.95 г. Государственное аттестование проводится методом собеседования аттестационной комиссии с руководителем предприятия. К аттестуемому предъявляются следующие требования. Должен знать: -законодательные акты Российской Федерации по вопросам защиты государственной тайны; -нормативные документы, утверждаемые Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну; -нормативно-методические документы по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, утверждаемые ФСБ и ГТК; -перечень продукции предприятия, подлежащей защите от разведок, основные охраняемые сведения о предприятии и выпускаемой продукции; -возможные каналы утечки информации по всему технологическому циклу разработки, изготовления и испытаний продукции предприятия; -деловые и моральные качества сотрудников структурного подразделения предприятия по защите государственной тайны. Должен уметь организовывать: -разработку мероприятий по защите сведений о предприятии и выпускаемой продукции, составляющих государственную тайну, и оценку их достаточности; -проведение анализа возможностей разведки по добыванию сведений, составляющих государственную тайну; -аттестование рабочих мест по всему технологическому циклу разработки, изготовления и испытания продукции; -комплексный контроль выполнения принимаемых мер по защите сведений, составляющих государственную тайну. Быть ознакомленным: -с государственной системой лицензирования деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны; -с возможностями иностранных разведок по добыванию сведений, составляющих государственную тайну; -с методиками контроля выполнения норм противодействия иностранным техническим разведкам. От государственной аттестации освобождаются руководители предприятий, окончившие учебные заведения, готовящие специалистов по специальностям защиты информации. |