Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

65
- документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
- информационная система - организационно упорядоченная
совокупность
документов
(массивов
документов)
и
информационных технологий, в том числе с использованием
средств
вычислительной
техники
и
связи,
реализующих
информационные процессы;
- информационные ресурсы - отдельные документы и отдельные
массивы документов, документы и массивы документов в
информационных системах (библиотеках, архивах, фондах, банках
данных, других информационных системах);
- информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
- конфиденциальная
информация
-
документированная
информация, доступ к которой ограничивается в соответствии с
законодательством Российской Федерации;
- пользователь
(потребитель)
информации
-
субъект,
обращающийся к информационной системе или посреднику за
получением необходимой ему информации и пользующийся ею.
Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.
Закон выделяет следующие цели защиты информации:
- предотвращение утечки, хищения, утраты, искажения, подделки
информации;
- предотвращение
угроз
безопасности
личности,
общества,
государства;
- предотвращение несанкционированных действий по уничтожению,
модификации,
искажению,
копированию,
блокированию
информации;
- предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы, обеспечение
правового режима документированной информации как объекта
собственности;
- защита конституционных прав граждан на сохранение личной
тайны и конфиденциальности персональных данных, имеющихся в
информационных системах;

66
- сохранение
государственной
тайны,
конфиденциальности
документированной
информации
в
соответствии
с
законодательством;
- обеспечение прав субъектов в информационных процессах и при
разработке, производстве и применении информационных систем,
технологий и средств их обеспечения.
Отметим, что
Закон на первое место ставит сохранение конфиденциальности информации.
Целостность представлена также достаточно полно, хотя и на втором месте. О доступности («предотвращение несанкционированных действий по ... блокированию информации») сказано довольно мало.
Продолжим цитирование:
«Защите
подлежит
любая
документированная
информация,
неправомерное обращение с которой может нанести ущерб ее
собственнику, владельцу, пользователю и иному лицу».
По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений. Далее.
«Режим защиты информации устанавливается:
- в отношении сведений, отнесенных к государственной тайне, -
уполномоченными органами на основании Закона Российской
Федерации «О государственной тайне»;
- в отношении конфиденциальной документированной информации -
собственником информационных ресурсов или уполномоченным
лицом на основании настоящего Федерального закона;
- в отношении персональных данных - федеральным законом.»
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.
Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.
Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.
1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом
Российской Федерации «О сертификации продукции и услуг».
2. Информационные системы органов государственной власти
Российской Федерации и органов государственной власти субъектов

67
Российской
Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством
Российской
Федерации.
3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности.
Порядок лицензирования определяется законодательством Российской Федерации.
4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.
Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...
И еще несколько пунктов, теперь из статьи 22:
2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.
Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

68
Далее, статья 23 «Защита прав субъектов в сфере информационных
процессов и информатизации» содержит следующий пункт:
2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:
3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.
Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы «неотказуемости» (невозможности отказаться от собственной подписи).
Таковы важнейшие, на наш взгляд, положения Закона «Об информации, информатизации и защите информации». На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.
5.2.3 Другие законы и нормативные акты
Следуя логике Закона «Об информации, информатизации и защите информации», продолжим наш обзор Законом «О лицензировании
отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ
(Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.
Лицензия - специальное разрешение на осуществление конкретного
вида деятельности при обязательном соблюдении лицензионных требований
и условий, выданное лицензирующим органом юридическому лицу или
индивидуальному предпринимателю.
Лицензируемый
вид
деятельности
- вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.
Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за

69 соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.
Лицензирующие органы - федеральные органы исполнительной
власти, органы исполнительной власти субъектов Российской Федерации,
осуществляющие
лицензирование
в
соответствии
с
настоящим
Федеральным законом.
Лицензиат
- юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.»
Статья 17 Закона «О лицензировании отдельных видов деятельности» устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:
- распространение шифровальных (криптографических) средств;
- техническое обслуживание шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных
(криптографических) средств информационных систем, телекоммуникационных систем;
- выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;
- выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
- разработка и (или) производство средств защиты конфиденциальной информации;
- техническая защита конфиденциальной информации;
- разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Необходимо учитывать, что, согласно статье 1, действие данного
Закона не распространяется на следующие виды деятельности:
- деятельность, связанная с защитой государственной тайны;
- деятельность в области связи;
- образовательная деятельность.

70
Основными лицензирующими органами в области защиты
информации являются
- Федеральное агентство правительственной связи и информации
(ФАПСИ) ведает всем, что связано с криптографией,
- Гостехкомиссия
лицензирует
деятельность
по
защите
конфиденциальной информации. Эти же организации возглавляют
работы
по
сертификации
средств
соответствующей
направленности.
Кроме того, ввоз и вывоз средств криптографической защиты информации
(шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской
Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламентированы соответствующими указами
Президента и постановлениями Правительства РФ, которые мы здесь перечислять не будем.
В эпоху глобальных коммуникаций важную роль играет Закон «Об
участии в международном информационном обмене» от 4 июля 1996 года
номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе «Об информации...», основным защитным средством являются лицензии и сертификаты.
10 января 2002 года Президентом был подписан очень важный закон
«Об электронной цифровой подписи» номер 1-ФЗ (принят Государственной
Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации...». Его роль поясняется в статье 1.
1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской
Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Закон вводит следующие основные понятия:
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с

71 использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.