Главная > Учебное пособие


Раздел 2. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ В СФЕРЕ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В РОССИЙСКОЙ ФЕДЕРАЦИИ

Тема 3. Госконтроль в сфере обеспечения информационной безопасности в РФ

3.1. Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в «Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»,утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами «Об информации, информатизации и защите информации» и «О государственной тайне»комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами « порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

1) проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

2) исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

3) принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

4) общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

5) контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

Надзор в сфере защиты информации, в первую очередь, осуществляет Федеральная служба по надзору в сфере связи (Россвязьнадзор), находящаяся в ведении Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России), данные функции также имеются у ФСБ, СВР, МВД, Минобороны, Минобрнауки России.

В частности, Федеральным законом от 3 апреля 1995 г. № 40-ФЗ «Об органах Федеральной службы безопасности в Российской Федерации»к компетенции ФСБ России в рассматриваемой области отнесены следующие вопросы:

1) участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

2) осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

3) осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

В Федеральном законе от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» (вступил в силу с февраля 2002 г.) в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:

1) деятельность по распространению шифровальных (криптографических) средств;

2) деятельность по техническому обслуживанию шифровальных (криптографических) средств;

3) предоставление услуг в области шифрования информации;

4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

5) деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

6) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

7) деятельность по технической защите конфиденциальной информации;

8) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.

Сертификация средств защиты и аттестование объектов информатизации. Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России (ныне — Росстандарт) зарегистрированы три системы сертификации средств защиты:

1) (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.001.01;

2) (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) № РОСС RU.0001.030001;

3) (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ — ГТ) № РОСС RU.0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных . направлениях защиты информации.

К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

а) в области защиты информации от несанкционированного доступа:

комплект руководящих документов Гостехкомиссии России(утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом «О стандартизации» можно отнести к отраслевым стандартам, в том числе:

— «Защита от несанкционированного доступа к информации. Термины и определения»

— «Концепция защиты СВТ и АС от НСД к информации»

— «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»

— «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ»

— «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

— «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ»

— «Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов»

— «Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей»

— ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от НСД к информации. Общие технические требования»

— ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

б) в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

— «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН» (Решение Председателя Гостехкомиссии СССР, 1977г.)

— «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.97 г. № 55)

— ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования»

— ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний»

— методики контроля защищенности объектов ЭВТ и другие;

в) в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

— ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»

— ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»

— ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

— ГОСТ Р 34.11 -94 «Функция хеширования»

— «Положение о разработке, изготовлении и обеспечении эксплуатации

— шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику» (ПШ-93)

— Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие

— «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года № 152 ).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000-2001 гг. нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам — разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.

Аттестация. При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизациипонимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа -»Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.

Обязательной аттестацииподлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Россвязьнадзором. Правила аккредитации определяются действующим в системе «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию Россвязьнадзора на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Россвязьнадзора.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

Юридическая значимость электронной цифровой подписи (ЭЦП). Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10 января 2002 г.) определяет основные понятия, связанные с ЭЦП следующим образом:

электронный документ — документ, в котором информация представлена в электронно-цифровой форме;

электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

средства ЭЦП — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций -создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

сертификат средства ЭЦП — документ на бумажном носителе, выданный соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;

закрытый ключ ЭЦП — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП;

открытый ключ ЭЦП — уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи в электронном документе;

сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;

пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;

информационная система общего пользования — информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Основной целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и обязанности автора подписи, технологию удостоверения подписи. Закон определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами В законе устанавливаются права и обязанности обладателя электронной цифровой подписи. Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.

В законе устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров.

Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация.

Закон исходит из того, что деятельность удостоверяющего центра по выдаче сертификатов ключей подписи в информационных системах общего пользования подлежит лицензированию.

Законом предусматривается защита прав лиц, использующих ЭЦП в процессах электронного обмена документами, и условия приостановления действия и (или) аннулирования сертификата ключа подписи.

Наиболее значимым моментом закона «Об ЭЦП» является определение условий, при которых ЭЦП признается равнозначной собственноручной подписи физического лица.

Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:

1) сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) па момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

2) подтверждена подлинность электронной цифровой подписи в электронном документе;

3) электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки.

2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной — цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

ГК РФ. Часть 1. Глава 28. Статья 434. Форма договора

Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

Федеральный Закон «Об информации, информатизации и защите информации»Статья 5. Документирование информации

2. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке установленном законодательством РФ.

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования.

4. Право удостоверять идентичность ЭЦП осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством РФ.

В комментариях к этому закону, изданных Комитетом при Президенте РФ по политике информатизации, Института государства и права РАН, НТЦ «Информсистема» сказано, что «Для признания ЭЦП необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования».

Таким образом, применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

Эксплуатация (использование) сертифицированных средств шифрования и электронной цифровой подписи может осуществляться в соответствии с действующим законодательством только на основании лицензии ФСБ России.

Совершенствование законодательного обеспечения Государственной системы защиты информации. В целом, нормативная правовая основа решения проблем информационной безопасности Российской Федерации базируется на системе правовых норм, регулирующих отношения в данной области. Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации определены в утвержденной Президентом Российской Федерации «Доктрине информационной безопасности Российской Федерации». Это базовый документ. Он предусматривает разработку последующих нормативных правовых документов. В нем намечены основные мероприятия, обеспечивающие эффективное противодействие угрозам безопасности государства и соблюдение национальных интересов в этой сфере.

Первоочередной задачей сегодня является разработка Концепции нормативного правового обеспечения информационной безопасности Российской Федерации, на которой будет основываться выработка согласованных действий всех субъектов права законодательной инициативы, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации при формировании государственной политики в области обеспечения информационной безопасности, выработка предложений по совершенствованию ее правового, методического, научно-технического и организационного обеспечения. По нашему мнению, главными направлениями совершенствования законодательства в этой области являются:

1) разработка проектов федеральных законов, регулирующих отношения в области служебной, коммерческой, банковской и других видов тайн;

2) усиление борьбы с правонарушениями в информационной сфере путем совершенствования норм, регулирующих ответственность за эти правонарушения, включая усиление ответственности физических и юридических лиц за несанкционированный доступ к информации, ее противоправное копирование, уничтожение, блокирование и модификацию;

3) разработка нормативных правовых актов, регулирующих отношения в области противодействия техническим разведкам;

4) совершенствование систем лицензирования и сертификации в различных сферах информационной безопасности;

5) регулирование вопросов использования импортных аппаратных и программных средств, в том числе средств защиты информации;

6) создание условий для развития отечественной индустрии средств защиты информации;

7) дальнейшее развитие законодательства в области государственной тайны и системы ее защиты;

8) гармонизация стандартов Российской Федерации в области информационной безопасности с международными стандартами.

3.2. Значение научных исследований в деятельности федеральных органов исполнительной власти, осуществляющих надзор за обеспечением безопасности информации. Противодействие техническим разведкам и защита информации являются сложными и наукоемкими проблемами, требующими постоянного научно-методического и научно-технического сопровождения.

Во-первых, проведение исследований различных физических факторов и полей (их более 20), технических решений и технологий, которые могут быть использованы для ведения разведывательной деятельности и несанкционированного сбора информации, особенно сведений, составляющих государственную тайну. На этой основе определяются угрозы информационной безопасности, формируются исходные данные для оценки возможностей технических средств разведки и их опасности, выявляются потенциальные каналы утечки информации.

Во-вторых, на базе научных исследований разработан целый ряд нормативных, руководящих и методических документов (концепций, норм, требований, положений, ГОСТов и пр.). В качестве основы для разработки и осуществления мероприятий по защите информации эти документы направлены во все структуры, входящие в Государственную систему защиты информации.

И в-третьих, необходимо постоянно следить за перспективой информационных технологий, прогнозируя развитие сил и средств ведения технической разведки и сбора информации, так как мероприятия по противодействию им должны быть сориентированы на опережение, чтобы обеспечить долгосрочную защиту национальных интересов России. В нашей стране возглавляет научную деятельность в данной сфере научно-исследовательская организация — Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федерального агентства по информационным технологиям (Росинформтехнологии), созданный согласно Постановлению Правительства Российской Федерации от 21 июня 2000 г. № 474. Появление такого института позволило значительно повысить качество научно-технического обеспечения и координации работ по противодействию иностранным техническим разведкам и по технической защите информации.

3.3. Практическая реализация взаимодействия Россвязьнадзора с МВД, Минсвязи, ФСБ, Минобороны и с другими органами исполнительной власти в свете Доктрины информационной безопасности. В соответствии с Положением о Россвязьнадзоре ее основными задачами являются проведение единой государственной политики в области технической защиты информации (некриптографическими методами), осуществление межотраслевой координации и функционального регулирования деятельности по обеспечению технической защиты информации в аппаратах органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и в организациях. Приказы, распоряжения и указания Росссвязьнадзора, изданные в пределах ее компетенции, обязательны для исполнения, они и формируют общую стратегию в данной области. Достигается это тем, что все решения Росссвязьнадзора готовятся совместно с заинтересованными министерствами и ведомствами и принимаются на заседаниях коллегии, в состав которой входят первые заместители (заместители) руководителей 18 федеральных органов исполнительной власти и государственных органов. По мере необходимости с учетом реорганизации органов государственного управления в состав коллегии включаются новые члены. Так, в настоящий момент решается вопрос о включении в ее состав руководителей вновь созданных оборонных агентств. Что касается МВД, Минсвязи, ФСБ, то их руководители всегда являлись членами коллегии Росссвязьнадзора. Такой состав обеспечивает согласованность принимаемых на коллегии решений, позволяет сосредоточить совместные усилия на их реализации, гарантирует соответствие ее деятельности государственным интересам. Кроме того, у нас существует практика заключения двусторонних соглашений о взаимодействии с различными министерствами и ведомствами, основанных на обмене информацией, представляющей взаимный интерес, о проведении совместных работ в области защиты информации и контроля их эффективности.

3.4. Роль Росссвязьнадзора в формировании региональной политики информационной безопасности. Учитывая, что значительная часть информационного ресурса России сосредоточена в субъектах Российской Федерации, формирование региональных систем защиты информации и систем управления ими, а также развитие производственной базы и контроля эффективности принимаемых мер являются очень важной и актуальной задачей.

Как показывает опыт, создание региональных систем защиты информации позволяет улучшить методическое руководство деятельностью по защите информации органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий региона, обеспечивает более высокий научно-технический уровень проводимых работ. В свое время Росссвязьнадзором была одобрена практика работы администраций Воронежской и Ростовской областей по решению проблем защиты информации. Рекомендации по использованию опыта их работы были разосланы во все регионы Российской Федерации. В целях совершенствования системы обеспечения информационной безопасности и в рамках проводимой в Российской Федерации административной реформы в центрах федеральных округов созданы территориальные органы Росссвязьнадзора — управления Росссвязьнадзора по федеральным округам. Основным направлением их деятельности является реализация на региональном уровне задач и функций, возложенных на Росссвязьнадзор.

Создание региональных управлений Росссвязьнадзора оказывает помощь полномочным представителям Президента РФ в федеральных округах реализовать возложенные на них функции в части контроля за исполнением в федеральном округе законодательства Российской Федерации в области противодействия иностранным техническим разведкам, выявления угроз национальной безопасности и выработки рекомендаций по их нейтрализации.

3.5. Наиболее актуальные проблемы в сфере лицензирования деятельности предприятий, работающих в области защиты информации, и проблемы сертификации средств защиты информации. Лицензирование деятельности предприятий в области защиты информации и сертификация средств защиты информации являются одной из функций Росссвязьнадзора.

Качество проводимых работ по технической защите информации в современных условиях, на наш взгляд, можно обеспечить, если к проведению этих работ привлекать высокопрофессиональных работников, имеющих соответствующую подготовку и опыт работы. Данное требование мы реализуем посредством лицензирования деятельности предприятий, учреждений и организаций. При этом эффективность работ по технической защите информации может быть достигнута только при условии применения сертифицированных защищенных технических средств обработки, хранения и передачи информации и средств их защиты. Выполнение этой задачи обеспечивает система сертификации по требованиям безопасности информации. Основным организационным звеном в системе лицензирования стали лицензионные центры, аккредитованные Росссвязьнадзором. К настоящему моменту аккредитовано более 40 лицензионных центров, а всего в системе Росссвязьнадзора работают более 800 лицензиатов. Системой сертификации Росссвязьнадзора предусматривается проведение сертификационных испытаний по требованиям информационной безопасности широкого круга технических и программных средств защиты информации. С мая 1995 года по настоящее время ранее действовавшей в сфере защиты информации Гостехкомиссией России и, в последствии, Росссвязьнадзором сертифицировано 540 средств защиты информации.

В рассматриваемой сфере деятельности проблемы возникают в связи с появлением новых угроз безопасности информации, с применением в целях добывания информации новейших высокотехнологичных средств разведки, с непрерывным развитием самих информационных технологий и т.п. Глобальных проблем две, их можно сформулировать следующим образом:

1. В области защиты информации требуются не просто квалифицированные специалисты, а специалисты, постоянно совершенствующие свои знания и разбирающиеся в информационных технологиях на уровне разработчиков.Только им под силу, например, проведение сертификационных испытаний новых классов средств защиты информации, разработка программ и методик, которые превращаются, по сути дела, в научно-исследовательские работы.

2. Необходимо обеспечить технические подразделения, осуществляющие выполнение работ в области защиты информации, самой современной аппаратурой контроля эффективности принимаемых мер защиты, а также разработать средства защиты информации, адекватные применяемым новейшим средствам ее добывания.

3.6. Соответствие российских нормативных и правовых документов международно-признанным нормам и стандартам. Многие государства мира с декабря 1999 г. перешли на международный стандарт ISO 15408-99 «Критерии оценки безопасности информационных технологий», более известный как «Общие критерии». Проведенный организациями лицензиатами Росссвязьнадзора анализ российских и зарубежных стандартов в области безопасности информации показал, что по уровню систематизации, полноте и степени детализации требований, а также их универсальности, гибкости, гарантированности и реализуемости «Общие критерии» безусловно являются оптимальным стандартом.

Однако прямое признание в Российской Федерации «Общих критериев» в настоящее время потребует:

1) более высокого уровня технологии разработки отечественных средств защиты информации;

2) освоения новой терминологии;

3) разработки новой методической базы, включающей комплекс методик проведения сертификационных испытаний и др.

Учитывая это, Росссвязьнадзор совместно с другими заинтересованными министерствами и ведомствами ведет разработку на основе «Общих критериев» российского стандарта ГОСТ РИСО/МЭК 15408. Введение в действие данного стандарта позволит:

1) выйти на международный уровень оценки безопасности информационных технологий;

2) получить возможность создания нового поколения межведомственных нормативно-методических документов по оценке информационной безопасности на единой основе;

3) сделать реальной перспективу вхождения России в международное соглашение о взаимном признании оценок на основе «Общих критериев»;

4) обеспечить возможность признания сертификатов различных систем сертификации при оценках соответствия продуктов информационных технологий согласованным профилям защиты.

Особо следует отметить, что решение последней задачи позволит выработать единый комплексный подход при реализации государственной политики обеспечения безопасности информации, не содержащей сведения, составляющие государственную тайну.

3.7. Решение вопросов защиты информации при проведении рекламных кампаний и демонстрации отечественных образцов вооружения и военной техники на международных выставках и салонах. В таких случаях специалистами Росссвязьнадзора осуществляется контроль эффективности принимаемых мер по защите информации в соответствии с «Руководством по защите информации при подготовке и проведении международных выставок вооружения и военной техники».

В ходе указанной работы основное внимание уделяется контролю соответствия рекламируемых характеристик представленных образцов вооружения и военной техники тем характеристикам, которые были указаны разработчиком в рекламных паспортах на образцы и согласованы с Росссвязьнадзором.

3.8. Юридическая защита информации при вхождении в систему Интернет государственных органов и других отечественных пользователей. Что касается государственных органов, то эта проблема решается на основе Указа Президента Российской Федерации № 1189 от 6 октября 1998 года, где предписано не осуществлять включение в эту сеть информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также тех пользователей, для которых установлены особые правила доступа к информационным ресурсам. Что касается всех остальных пользователей, то решение вопроса защиты их информации полностью лежит на собственнике информации.

Росссвязьнадзор не стоит в стороне от решения этого вопроса. Проблемы вхождения Российской Федерации в глобальные информационные сети, в частности в Интернет, Гостехкомиссией России и ее преемником, Росссвязьнадзором, поднимались неоднократно. Так в 1997 г. было принято решение № 61 «О защите информации при вхождении России в международную информационную систему Интернет», определившее необходимые на тот момент организационные и технические решения по защите информации и пути дальнейшей работы в этом направлении.

Росссвязьнадзор видит свою задачу в предоставлении возможности собственникам информации сделать выбор современных средств защиты информации исходя из степени необходимости ее защиты и стоимости этих средств. Под нашим руководством разрабатываются различные технические и аппаратные решения, проходящие в настоящее время сертификацию. Информация о возможности применения этих средств защиты будет размещена на сайтах компаний «Гротек», «Инфотекс», «Инфосистемы Джет» и «Маском».

3.9. Система подготовки специалистов по информационной безопасности в современной России. В соответствии с функциями, возложенными на нее Президентом РФ, Росссвязьнадзор осуществляет методическое руководство подготовкой, профессиональной переподготовкой и повышением квалификации специалистов в области информационной безопасности и участвуем в лицензировании образовательной деятельности в данной области.

Эффективное обеспечение технической защиты информации возможно только при наличии компетентных и высокопрофессиональных специалистов в этой области. Поэтому во исполнение соответствующих решений Росссвязьнадзора была создана нашедшая поддержку в Минобрнауки России и в других федеральных органах исполнительной власти система подготовки и переподготовки кадров по проблеме комплексной защиты информации. Кроме того, сформирована структура необходимых специальностей и специализаций, разработаны и периодически уточняются государственные образовательные стандарты и программы подготовки специалистов по защите информации. Здесь Росссвязьнадзор тесно взаимодействуем с Минобрнауки России и ФСБ России. Головным учебно-научным центром страны в этой области является Московский государственный инженерно-физический институт (МИФИ).

Подготовку по данной специализации, учебно-методическую и научную работу в федеральных округах осуществляют 16 региональных учебно-научных центров. Кроме того, специалисты Росссвязьнадзора готовятся в целом ряде военных и гражданских вузов. В учебных заведениях, входящих в систему подготовки кадров в области защиты информации и противодействия техническим разведкам, за период с 1991 г. прошли подготовку и переподготовку более 10 тысяч человек.

Данная работа выполнена с использованием справочной правовой системы КонсультантПлюс

1 Глебов А.П. Сущностно-субстанциональный и функциональные подходы в исследовании государственных и правовых явлений. В кн.: Проблемы теории государства и права. / Под ред. М.Н. Марченко. МГУ им. М. В. Ломоносова, юридический факультет. — М.: Издательство «Проспект», 1999. С. 145.

2 Алексеев С.С. Право: азбука — теория — философия: Опыт комплексного исследования. — М.: Издательство «Статут», 1999. С. 250.

3 Там же. С. 235.

4 Лопатин В.Н. Правовые основы информационной безопасности. В кн.: Информационное право. С. 473

5 Копылов В.А. Информационное право. С. 219.

6 Бачило И.Л. Информационное право. С. 27.

7 Полякова Т.А. Теоретико-правовой анализ законодательства в области обеспечения информационной безопасности Российской Федерации. Диссертация на соискание ученой степени кандидата юридических наук. Российская правовая академия при Министерстве юстиции Российской Федерации. — М., 2002.

8 Стрельцов А.А. Предмет правового обеспечения информационной безопасности. Российский юридический журнал, № 3, 2003.

9 Венгеров А.Б. Теория государства и права. — М., 1999, с. 381; Бачило И.Л. Информационное право. Основы практической информатики. — М., 2001, с. 54.

10 Алексеев С.С. Право: азбука — теория — философия: Опыт комплексного исследования. — М.: Издательство «Статут», 1999. С. 46.

11 Там же. С. 371.

12 Венгеров А.Б. Теория государства и права. С. 265.

13 Там же. С. 231.

14 Алексеев С.С. Государство и право. — М.: Издательство “Юридическая литература”, 1994. С. 165.

15 Стрельцов А.А. Цель, структура и методы правового обеспечения информационной безопасности Российской Федерации // Научные и методологические проблемы информационной безопасности / Под ред. В.П. Шерстюка. М.: МЦНМО, 2004.

16 Вус М.А. К вопросу о становлении концептуальных правовых основ информационной безопасности в рамках нашего государства / Информационная безопасность в союзе России и Беларуси. — СПб., 2000.



Скачать документ

Похожие документы:

  1. Основы информационной безопасности в овд

    Методические указания
    ... . Основыинформационнойбезопасности органов внутренних дел: Учебноепособие. – М.: МосУ МВД России, 2005. Н.И.Журавленко, В.Е.Кадулин, К.К.Борзунов. Основыинформационнойбезопасности: Учебноепособие ...
  2. Правовой режим информации в отношениях с участием субъектов предпринимательской деятельности введение

    Документ
    ... . с. N 45-47. Горбатов В.С. Информационнаябезопасность: основыправовой защиты. М., 1995. Горбатов В.С., Кондратьева Т.А. Правовыеосновыинформационнойбезопасности: Учебноепособие. М., 1998. Гордиенко И. Учет ...
  3. Правовой режим информации в отношениях с участием субъектов предпринимательской деятельности Введение

    Документ
    ... . с. N 45-47. Горбатов В.С. Информационнаябезопасность: основыправовой защиты. М., 1995. Горбатов В.С., Кондратьева Т.А. Правовыеосновыинформационнойбезопасности: Учебноепособие. М., 1998. Гордиенко И. Учет ...
  4. Информационной безопасности

    Учебное пособие
    ... Шелупанов Александр Александрович ОСНОВЫИНФОРМАЦИОННОЙБЕЗОПАСНОСТИУчебноепособие Редактор Е. А. ... правовой базы обеспечения информационнойбезопасности. Учебноепособие основано на опыте преподавания дисциплины «Ос­новыинформационнойбезопасности» ...
  5. Информационная безопасность предпринимательской деятельности учебно-методический комплекс

    Учебно-методический комплекс
    ... слова. Б. Электронная цифровая подпись. В. Правовыеосновыинформационнойбезопасности личности и предпринимательства в РФ. Ц ... 10.1. Литература Основная 1. Галатенко В.А. Основыинформационнойбезопасности: Учебноепособие/ В.А. Галатенко. Под ред. ...

Другие похожие документы..