Концептуальные основы защиты информации. Система документов по технической защите информации

2.1. Концептуальные основы защиты информации

Основу правового обеспечения информационной безопасности России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента РФ, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.

Концепция (от лат. conceptio) - генеральный замысел, определяющий стратегию действий. Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.

Концепция защиты информации предполагает:

1. Определение понятия, сущности и целей защиты информации.
2. Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
3. Дифференциацию защищаемой информации: а) по степеням конфиденциальности, б) по собственникам и владельцам.
4. Определение состава и классификации носителей защищаемой информации.
5. Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
6. Определение методов и средств защиты информации.
7. Кадровое обеспечение защиты информации.

То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативно–правовых документов.

Стратегия национальной безопасности до 2020 года была утверждена президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".

Документ содержит 6 разделов:

1. Общие положения
2. Современный мир и Россия: состояние и тенденции развития
3. Национальные интересы Российской Федерации и стратегические национальные приоритеты
4. Обеспечение национальной безопасности
5. Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии
6. Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов

В Общих положениях дается перечень основных понятий в области национальной безопасности:

национальная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;

национальные интересы Российской Федерации - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;

угроза национальной безопасности - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;

стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;

система обеспечения национальной безопасности - силы и средства обеспечения национальной безопасности;

силы обеспечения национальной безопасности - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;

средства обеспечения национальной безопасности - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.

"Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации на период до 2020 года и Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года"[2.1]. Важно подчеркнуть, что Документ ориентирован именно на национальную безопасность, то есть на безопасность интересов государства в целом. При этом задача обеспечения национальной безопасности признается комплексной задачей, для решения которой в Стратегии представлены следующие направления деятельности:

• Повышение качества жизни российских граждан;
• Экономический рост;
• Наука, технология и образование;
• Здравоохранение;
• Культура;
• Экология живых систем и рациональное природопользование.

В заключительной части описаны основные характеристики состояния национальной безопасности, а именно:

1. уровень безработицы (доля от экономически активного населения);
2. децильный коэффициент (соотношение доходов 10% наиболее и 10% наименее обеспеченного населения);
3. уровень роста потребительских цен;
4. уровень государственного внешнего и внутреннего долга в процентном отношении от валового внутреннего продукта;
5. уровень обеспеченности ресурсами здравоохранения, культуры, образования и науки в процентном отношении от валового внутреннего продукта;
6. уровень ежегодного обновления вооружения, военной и специальной техники;
7. уровень обеспеченности военными и инженерно-техническими кадрами.

Для сравнения: в Европе децильный коэффициент находится в диапазоне 6-8, в США – 10-12, в России, по данным Российской академии наук, 14-17. Этот параметр является наиболее значимым при определении состояния национальной безопасности, и одной из основных задач на данный момент является его максимальное уменьшение.

В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально новым документом, основной целью которого является планирование развития системы национальной безопасности, в том числе цели, меры и порядок действий для ее обеспечения. Стратегия стала своего рода ответом на новую международную обстановку и отразила взгляды и планы руководства РФ в отношении внешней политики.

Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:

• формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
• подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
• разработки целевых программ обеспечения информационной безопасности Российской Федерации.

В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:

• Соблюдение прав и свобод человека в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.;
• Информационное обеспечение внутренней и внешней государственной политики страны;
• Развитие информационных технологий в соответствии со временем;
• Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Дается следующее определение информационной безопасности - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [2.2].

Таким образом, понятие информационной безопасности здесь является более расширенным, чем рассмотренное нами в предыдущей лекции.

В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:

• угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям, духовному возрождению России. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона.
• угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России.
• угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз.
• угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации. В ходе курса мы подробнее остановимся на данном виде угроз.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

• Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
• Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
• Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.

Важно отметить, что Доктрина не является нормативно-правовым документом, то есть не обязательна к исполнению ни государством, ни его органами власти, ни гражданами, ни организациями. Доктрина разрабатывается для определенного исторического этапа развития и реализовывается в дальнейшем в виде законов, нормативных актов и практических мер, которые будут рассмотрены далее.

2.2. Законодательные и иные правовые акты в области технической защиты информации.

Нормативные правовые акты по технической защите информации – это федеральные законы, указы и распоряжения Президента РФ, Постановления правительства РФ. Нормативно-правовые акты являются основным источником права в Государстве. Юридическая сила нормативно-правовых актов является наиболее существенным признаком их классификации. Она определяет их место и значимость в общей системе государственного нормативного регулирования. Закон – это главный нормативно-правовой акт. К законам в области технической защиты информации можно отнести:

• Закон Российской Федерации от 05.03.1992 № 2446-1 "О безопасности".
• Закон Российской Федерации от 22.06.1993 № 5485-1 "О государственной тайне".
• Федеральный закон №128 от 08.08.2001 "О лицензировании отдельных видов деятельности"
• Федеральный Закон №184 от 27.12.2002 "О техническом регулировании"
• Федеральный Закон №149 от 27.07.2006 "Об информации, информационных технологиях и о защите информации"
• Федеральный закон №152 от 27.07.2006 "О персональных данных"

Указы и распоряжения Президента РФ в области технической защиты информации:

• "Вопросы федеральной службы по техническому и экспортному контролю" от 16.08.2004
• "Об утверждении перечня сведений, отнесенных к государственной тайне" от 30.11.1995.
• "Об утверждении перечня сведений конфиденциального характера" от 06.03.1997
• "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008.

В структуру нормативно-правовых актов входят также постановления Правительства РФ, приведем основные из них:

• "Об организации лицензирования отдельных видов деятельности" от 26.01.2006
• "Об утверждении Положения о сертификации средств защиты информации" от 26.06.1995
• "О лицензировании деятельности по технической защите конфиденциальной информации" от 15.08.2006
• "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" от 31.08.2006

Организационные документы – это уставы, положения, инструкции. Уставы и инструкции издаются на уровне организации и, как правило, не имеют отношения к государственному регулированию. В контексте данной лекции ключевым документом данного типа является положение. Положение – это сводный документ, определяющий порядок образования, структуру, функции, компетенцию, обязанности и организацию работы системы органов государства. Положением может также регламентироваться деятельность должностных лиц. В области технической защиты информации основными положениями являются:

• Положение о Федеральной службе по техническому и экспортному контролю от 16.08.2004
• Положение о государственном лицензировании деятельности в области защиты информации от 27.04.1994
• Положение о лицензировании деятельности по технической защите конфиденциальной информации от 15.08.2006
• Положение о сертификации средств защиты информации от 26.06.1995
• Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.

Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов. С актуальным перечнем документов в области технической защиты информации можно ознакомиться на сайте ФСТЭК России.