Вы находитесь на странице: 1из 17

1 Введение в информационную безопасность

1.1. Понятие информационной безопасности

То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е -


безопасностью данных, сейчас более правильно именуется информационной
безопасностью. Информационная безопасность подчеркивает важность информации в
современном обществе - понимание того, что информация - это ценный ресурс, нечто
большее, чем отдельные элементы данных.

Если рассматривать безопасность в качестве общенаучной категории, то она может


быть определена как некоторое состояние рассматриваемой системы, при котором
последняя, с одной стороны, способна противостоять дестабилизирующему воздействию
внешних и внутренних угроз, а с другой – ее функционирование не создает угроз для
элементов самой системы и внешней среды. При таком определении мерой безопасности
системы являются:

 с точки зрения способности противостоять дестабилизирующему воздействию


внешних и внутренних угроз – степень (уровень) сохранения системой своей
структуры, технологии и эффективности функционирования при воздействии
дестабилизирующих факторов;
 с точки зрения отсутствия угроз для элементов системы и внешней среды –
степень (уровень) возможности (или отсутствия возможности) появления таких
дестабилизирующих факторов, которые могут представлять угрозу элементам
самой системы или внешней среде.

Чисто механическая интерпретация данных формулировок приводит к следующему


определению информационной безопасности:

Под информационной безопасностью понимается состояние защищенности ее


национальных интересов в информационной сфере, определяющихся совокупностью
сбалансированных интересов личности, общества и государства [1].

Приведенное определение представляется достаточно полным и вполне


корректным. Однако, для того, чтобы служить более конкретным ориентиром в
направлении поиска путей решения проблем информационной безопасности, оно
нуждается в уточнении и детализации его основополагающих понятий. При этом
отправной точкой может служить тот факт, что информация как непременный компонент
любой организованной системы, с одной стороны, легко уязвима (т.е. весьма доступна для
дестабилизирующего воздействия большего числа разноплановых угроз), а с другой
стороны сама может быть источником большого числа разноплановых угроз как для
элементов самой системы, так и для внешней среды. Отсюда естественным образом
вытекает, что обеспечение информационной безопасности в общей постановке проблемы
может быть достигнуто лишь при взаимосвязанном решении трех составляющих проблем:
- защита находящейся в системе информации от дестабилизирующего воздействия
внешних и внутренних угроз информации;

- защита структурных элементов системы (например, рабочих станций и серверов)


от дестабилизирующего воздействия внешних и внутренних информационных угроз;

- защита внешней среды от информационных угроз со стороны рассматриваемой


системы.

В соответствии с изложенным общая схема обеспечения информационной


безопасности может быть представлена так, как показано на рисунке 1.1.

Рисунок 1.1 – Общая схема обеспечения информационной безопасности


Информационная безопасность включает в себя меры по защите процессов
создания данных, их ввода, обработки и вывода.

Цель информационной безопасности - обезопасить ценности системы, защитить и


гарантировать точность и целостность информации, и минимизировать разрушения,
которые могут иметь место, если информация будет модифицирована или разрушена.
Информационная безопасность требует учета всех событий, в ходе которых информация
создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Информационная безопасность дает гарантию того, что достигаются следующие


цели:

 конфиденциальность информации (обязательное для выполнения лицом,


получившим доступ к определённой информации, требование не передавать такую
информацию третьим лицам без согласия её обладателя) [2];

 целостность информации (способность средства вычислительной техники или


информационной системы обеспечивать неизменность информации в условиях
случайного и/или преднамеренного искажения (разрушения)) [3];

 доступность информации (возможность получения информации и ее


использования) [2];

 учет и регистрация всех процессов, связанных с информацией.

Некоторые технологии по защите системы и обеспечению учета всех событий


могут быть встроены в сам компьютер. Другие могут быть встроены в программы.
Некоторые же выполняются людьми и являются реализацией указаний руководства,
содержащихся в соответствующих руководящих документах. Принятие решения о выборе
уровня защищенности информации требует установления критичности информации и
последующего определения необходимых мер по обеспечению безопасности.

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась
вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

 весьма развитый арсенал технических средств защиты информации (далее СЗИ),


производимых на промышленной основе;

 значительное число фирм, специализирующихся на решении вопросов защиты


информации;

 достаточно четко очерченная система взглядов на эту проблему;

 наличие значительного практического опыта и др.

И, тем не менее, опыт показывает что, злоумышленные действия над информацией


не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Для
борьбы с этой тенденцией необходима целенаправленная организация процесса защиты
информационных ресурсов. Причем в этом должны активно участвовать
профессиональные специалисты, администрация, сотрудники и пользователи, что и
определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

 обеспечение безопасности информации не может быть разовым действием. Это


непрерывный процесс, заключающийся в обосновании и реализации наиболее
рациональных методов, способов и путей совершенствования и развития системы
защиты, непрерывном контроле ее состояния, выявлении ее уязвимых мест и
попыток несанкционированного доступа;

 безопасность информации может быть обеспечена лишь при комплексном


использовании всего арсенала имеющихся средств защиты во всех структурных
элементах производственной системы и на всех этапах технологического цикла
обработки информации. Наибольший эффект достигается тогда, когда все
используемые средства, методы и меры объединяются в единый целостный
механизм - систему защиты информации. При этом функционирование системы
должно контролироваться, обновляться и дополняться в зависимости от изменения
внешних и внутренних условий;

 ни одно СЗИ не может обеспечить требуемого уровня безопасности информации


без надлежащей подготовки пользователей и соблюдения ими всех установленных
правил, направленных на ее защиту.

Можно определить систему защиты информации как совокупность


организационных, административных и технологических мер, программно-технических
средств, правовых и морально-этических норм, направленных на противодействие
угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям
или владельцам информационной системы.

С позиций системного подхода к защите информации предъявляются


определенные требования. Защита информации должна быть:

 непрерывной. Это требование проистекает из того, что злоумышленники только и


ищут возможность, как бы обойти защиту интересующей их информации;

 плановой. Планирование осуществляется путем разработки каждой службой


детальных планов защиты информации в сфере ее компетенции с учетом общей
цели предприятия (организации);

 целенаправленной. Защищается то, что должно защищаться в интересах


конкретной цели;

 конкретной. Защите подлежат конкретные данные, объективно подлежащие


охране, утрата которых может причинить организации определенный ущерб;
 активной. Защищать информацию необходимо с достаточной степенью
настойчивости;

 надежной. Методы и формы защиты должны надежно перекрывать возможные


пути неправомерного доступа к охраняемым объектам, независимо от формы их
представления, языка выражения и вида физического носителя, на котором они
закреплены;

 универсальной. Считается, что в зависимости от вида канала утечки или способа


несанкционированного доступа его необходимо перекрывать, где бы он ни
проявился, разумными и достаточными средствами, независимо от характера,
формы и вида информации;

 комплексной. Для защиты информации во всем многообразии структурных


элементов должны применяться все виды и формы защиты в полном объеме.
Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это


специфическое явление, представляющее собой сложную систему неразрывно
взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь
имеет множество дополняющих друг друга сторон, свойств, тенденций.

Защита информации должна удовлетворять определенным условиям:

 охватывать весь технологический комплекс мер по обработке информации (под


обработкой информации понимаются все действия (операции) с информацией,
включая сбор, систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в том числе передачу),
блокирование, уничтожение информации);

 быть разнообразной по используемым средствам, многоуровневой с иерархической


последовательностью доступа;

 быть открытой для изменения и дополнения мер обеспечения безопасности


информации;

 быть простой для технического обслуживания и удобной для эксплуатации


пользователями;

 быть надежной. Любые поломки технических средств являются причиной


появления неконтролируемых каналов утечки информации;

 быть комплексной, обладать целостностью, означающей, что ни одна ее часть не


может быть изъята без ущерба для всей системы.

К системе безопасности информации предъявляются также определенные


требования:
 четкость определения полномочий и прав пользователей на доступ к определенным
видам информации;

 предоставление пользователю минимальных полномочий, необходимых ему для


выполнения порученной работы;

 учет случаев и попыток несанкционированного доступа к конфиденциальной


информации;

 обеспечение оценки степени конфиденциальности информации;

 обеспечение контроля целостности средств защиты и немедленное реагирование на


их выход из строя.

Понимая информационную безопасность как «состояние защищенности ее


национальных интересов в информационной сфере, определяющихся совокупностью
сбалансированных интересов личности, общества и государства», следует рассматривать и
меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показала, что для анализа такого значительного набора источников,


объектов угроз и неправомерных действий целесообразно использовать методы
моделирования, при которых формируется как бы "заместитель" реальных ситуаций.
Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их
сложности. Можно предложить следующие компоненты модели информационной
безопасности:

 объекты угроз;

 угрозы;

 источники угроз;

 цели угроз со стороны злоумышленников;

 источники информации;

 способы несанкционированного доступа;

 направления защиты информации;

 СЗИ.

Объектом угроз информационной безопасности выступают сведения о составе,


состоянии и деятельности объекта защиты (персонала, материальных и финансовых
ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности,


конфиденциальности и доступности. Источниками угроз выступают конкуренты,
коррупционеры, административно-управленческие органы. Источники угроз преследуют
при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в
корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение информацией возможно за счет ее разглашения


источниками сведений, за счет утечки информации по техническим каналам и за счет
несанкционированного доступа к охраняемым сведениям.

Источниками защищаемой информации являются люди, документы, публикации,


технические носители информации, технические средства обеспечения производственной
и трудовой деятельности, продукция и отходы производства. Основными направлениями
защиты информации являются правовое, организационное и инженерно-техническое
направление защиты информации как показатели комплексного подхода к обеспечению
информационной безопасности.

СЗИ являются технические, программные средства, вещества и (или) материалы,


предназначенные или используемые для защиты информации. СЗИ могут быть
реализованы программными или аппаратными комплексами, также возможны смешанные
программно-аппаратные решения.

Вывод:

Данный раздел, посвященный определению понятия «информационная


безопасность», достаточно много говорит о защите информации, и уже этого достаточно
для того, чтобы понять о чрезвычайной важности данной проблемы для современного
общества. В то же время, несмотря на практически всеобщее понимание актуальности и
значимости проблемы ей по-прежнему уделяют недостаточно внимания.

1.2. Законодательство в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области


информационной безопасности относятся:

1) Акты федерального законодательства:

 Конституция РФ;

 Международные договоры РФ;

 Законы федерального уровня (включая федеральные конституционные законы,


кодексы);

 Указы Президента РФ;

 Постановления правительства РФ;

 Нормативные правовые акты федеральных министерств и ведомств;


 Нормативные правовые акты субъектов РФ, органов местного самоуправления
и т. д.

2) Нормативно-методические документы:

 Доктрина информационной безопасности РФ;

 Руководящие документы ФСТЭК;

 Приказы ФСБ;

 Стандарты информационной безопасности, из которых выделяют:

a) Международные стандарты;

b) Государственные (национальные) стандарты РФ;

c) Рекомендации по стандартизации;

d) Методические указания.

Ниже приведены наиболее значимые в области информационной безопасности


нормативно-правовые акты с небольшими комментариями. Данный перечень является
неполным, всего в Российской Федерации с 1992г. было принято около 62 различных
документов в данной сфере (материал подготовлен на основе информации открытых
источников).

 Конституция Российской Федерации утверждена 12 декабря 1993г.

В Российской Федерации впервые документально закреплены права человека в


области персональных данных.

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личной и семейной


тайны, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых,


телеграфных и иных сообщений. Ограничение этого права допускается только на
основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни


лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их


должностные лица обязаны обеспечить каждому возможность ознакомления с
документами и материалами, непосредственно затрагивающими его права и свободы,
если иное не предусмотрено законом.
 Закон Российской Федерации №5485-1 "О государственной тайне" утвержден
Президентом Российской Федерации 21 июля 1993г. (в ред. Федеральных законов
от 06.10.1997 N131-ФЗ, от 30.06.2003 N86-ФЗ, от 11.11.2003 N153-ФЗ, от
29.06.2004 N58-ФЗ, от 22.08.2004 N122-ФЗ, от 01.12.2007 N294-ФЗ, от 01.12.2007
N318-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от
27.03.1996 N8-П, определениями Конституционного Суда РФ от 10.11.2002 N293-
О, от 10.11.2002 N314-О).

Настоящий Закон регулирует отношения, возникающие в связи с отнесением


сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой
в интересах обеспечения безопасности Российской Федерации.

Законодательство Российской Федерации о государственной тайне основывается на


Конституции Российской Федерации, Законе Российской Федерации "О безопасности" и
включает настоящий Закон, а также положения других актов законодательства,
регулирующих отношения, связанные с защитой государственной тайны.

Государственная тайна - защищаемые государством сведения в области его


военной, внешнеполитической, экономической, разведывательной,
контрразведывательной и оперативно-розыскной деятельности, распространение которых
может нанести ущерб безопасности Российской Федерации.

Контроль за обеспечением защиты государственной тайны осуществляют


Президент Российской Федерации, Правительство Российской Федерации в пределах
полномочий, определяемых Конституцией Российской Федерации, федеральными
конституционными законами и федеральными законами.

 Указ Президента Российской Федерации №1203 " Об утверждении перечня


сведений, отнесенных к государственной тайне" от 30 ноября 1995г.

 Постановление Правительства Российской Федерации №608 "О


сертификации средств защиты информации" от 26 июня 1995г.

Настоящее Постановление устанавливает порядок сертификации средств защиты


информации в Российской Федерации и ее учреждениях за рубежом.

Технические, криптографические, программные и другие средства,


предназначенные для защиты сведений, составляющих государственную тайну, средства,
в которых они реализованы, а также средства контроля эффективности защиты
информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в


рамках систем сертификации средств защиты информации. При этом криптографические
(шифровальные) средства должны быть отечественного производства и выполнены на
основе криптографических алгоритмов, рекомендованных Федеральной службой
безопасности Российской Федерации.

Функции органов по сертификации средств защиты информации:


-сертификация средства защиты информации, выдача сертификатов и лицензий на
применение знака соответствия с представлением копий в федеральные органы по
сертификации и ведение их учета;

-приостановление либо отмена действия выданных ими сертификатов и лицензий на


применение знака соответствия;

-принятие решение о проведении повторной сертификации при изменениях в технологии


изготовления и конструкции (составе) сертифицированных средств защиты информации;

-формирование фонда нормативных документов, необходимых для сертификации.

Органы, осуществляющие сертификацию средств защиты информации, несут


ответственность, установленную законодательством Российской Федерации, за
выполнение возложенных на них обязанностей, обеспечение защиты государственной
тайны и других конфиденциальных сведений, сохранность материальных ценностей,
предоставленных изготовителем, а также за соблюдением авторских прав изготовителя
при сертификационных испытаниях средств защиты информации.

 Указ Президента Российской Федерации №188 "Об утверждении перечня


сведений конфиденциального характера" от 6 марта 1997г.

 Доктрина информационной безопасности Российской Федерации утверждена


Президентом Российской Федерации 9 сентября 2000г. №Пр-1895

9 сентября 2000 года президент РФ Владимир Путин утвердил Доктрину


информационной безопасности РФ. Проект Доктрины был обсужден и в целом одобрен на
заседании Совета Безопасности РФ 23 июня 2000 года. Концептуальный документ такого
рода в российской истории появился впервые.

Разработка доктрины шла на протяжении нескольких лет. Первые ее наработки


появились в 1994 году. По оценкам специалистов, документ как составная часть
Концепции национальной безопасности страны является базовым в первую очередь для
федеральных органов исполнительной власти, реализующих свои полномочия в
информационной сфере.

Доктрина информационной безопасности РФ представляет собой совокупность


официальных взглядов на цели, задачи, принципы и основные направления обеспечения
информационной безопасности РФ.

Доктрина служит основой для: формирования государственной политики в области


обеспечения информационной безопасности; подготовки предложений по
совершенствованию правового, методического, научно-технического и организационного
обеспечения информационной безопасности; разработки целевых программ обеспечения
информационной безопасности.

В Приложении 1 приведены выдержки из Доктрины информационной


безопасности Российской Федерации.
 Федеральный закон Российской Федерации №1-ФЗ "Об электронной
цифровой подписи" утвержден Президентом Российской Федерации 10 января
2002г. – утратил силу с 1 июля 2012г. (Действующий Федеральный закон от 6
апреля 2011г. №63-ФЗ "Об электронной подписи")

 Федеральный закон Российской Федерации №98-ФЗ "О коммерческой тайне"


утвержден Президентом Российской Федерации 29 июля 2004г.

В соответствии со ст. 3 Федерального закона от 29 июля 2004г. №98-ФЗ "О


коммерческой тайне" под коммерческой тайной понимается режим конфиденциальности
информации, позволяющий ее обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить
положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Под информацией, составляющей коммерческую тайну (секрет производства)


понимают сведения любого характера (производственные, технические, экономические,
организационные и другие), в том числе о результатах интеллектуальной деятельности в
научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную
коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц
нет свободного доступа на законном основании и в отношении которых обладателем
таких сведений введен режим коммерческой тайны.

Для определения сведений, относимых к коммерческой тайне, руководителю


организации вначале необходимо создать группу экспертов, которые должны изучить
законодательство Российской Федерации о коммерческой тайне.

Такими нормативными документами могут быть:

 Федеральный закон от 29.07.2004г. №98-ФЗ "О коммерческой тайне";

 Гражданский кодекс РФ (ст. 1465);

 Конституция РФ 1993г. (ст. 34);

 Указ Президента РФ от 06.03.1997г. №188 "Об утверждении Перечня сведений


конфиденциального характера";

 Федеральный закон от 12.01.1996г. №7-ФЗ "О некоммерческих организациях" (ст.


32).

Следующий шаг - группа экспертов должна выделить из массива информации те


сведения, которые следует отнести к коммерческой тайне. Эксперты должны
руководствоваться в выборе информации следующим:

 информация должна быть коммерчески выгодной для организации или


выгодной для конкурента;
 информация не должна быть общеизвестной или общедоступной на
законных основаниях;

 сведения не должны являться государственными секретами;

 информация должна быть зафиксирована в письменной или иной


материальной форме или находиться в исключительном ведении
организации;

 сведения не должны напрямую касаться деятельности предприятия,


способной нанести ущерб обществу, жизни и здоровью людей (нарушение
законов, загрязнение окружающей среды и т.д.), а также использоваться в
целях недобросовестной конкуренции, уклонения от налогообложения,
осуществления запрещенной или не закрепленной в уставе организации
деятельности.

 Федеральный закон Российской Федерации №149-ФЗ "Об информации,


информационных технологиях и о защите информации" утвержден
Президентом Российской Федерации 27 июля 2006г.

Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и


распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

 Федеральный закон Российской Федерации №152-ФЗ "О персональных


данных" утвержден Президентом Российской Федерации 27 июля 2006г.

Основной документ в области персональных данных (далее ПДн). Вводит


основные термины, определяет права и обязанности субъектов ПДн и операторов,
принципы и условия обработки ПДн, меры по обеспечению безопасности ПДн при их
обработке.

 Постановление Правительства Российской Федерации №504 "О


лицензировании деятельности по технической защите конфиденциальной
информации" от 15 августа 2006г.

Определяет порядок лицензирования деятельности по технической защите


конфиденциальной информации, осуществляемой юридическими лицами и
индивидуальными предпринимателями.

 Постановление Правительства Российской Федерации №781 "Об утверждении


положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных" от 17 ноября
2007г.

Возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты


ПДн в информационных системах, возлагает на оператора ПДн задачу обеспечения
безопасности ПДн и обязанность классификации информационных систем персональных
данных (далее ИСПДн), устанавливает, что работы по обеспечению безопасности ПДн
являются неотъемлемой частью работ по созданию ИСПДн и средства защиты ПДн
должны пройти оценку соответствия (в ФСТЭК России и ФСБ России), определяет, что
достаточность принятых мер по обеспечению безопасности ПДн оценивается при
проведении государственного контроля и надзора.

 Постановление Правительства Российской Федерации №512 "Об утверждении


требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем
персональных данных" от 6 июля 2008г.

Настоящие требования применяются при использовании материальных носителей,


на которые осуществляется запись биометрических персональных данных, а также при
хранении биометрических персональных данных вне ИСПДн.

 Постановление Правительства Российской Федерации №687 "Об утверждении


положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации" от 15 сентября 2008г.

Вводит понятие обработки неавтоматизированной обработки ПДн, определяет


особенности, правила неавтоматизированной обработки ПДн и меры по обеспечению
безопасности ПДн.

 Стратегия Национальной безопасности Российской Федерации до 2020 года


утверждена Указом Президента Российской Федерации №537 12 мая 2009г.

Стратегия национальной безопасности Российской Федерации до 2020 года


является основным инструментом системы обеспечения национальной безопасности. Она
сохраняет преемственность принятых политических установок в области национальной
безопасности, в первую очередь Концепции национальной безопасности Российской
Федерации, и уточняет государственную политику в области обеспечения национальной
безопасности на долгосрочную перспективу, увязанную по целям и задачам с социально-
экономическим развитием Российской Федерации.

Как важнейший документ в системе стратегического планирования, неразрывно


связанный с Концепцией долгосрочного социально-экономического развития Российской
Федерации на период до 2020 года, Стратегия исходит из фундаментального положения о
взаимосвязи и взаимозависимости устойчивого развития государства и обеспечения
национальной безопасности.

Стратегия нацелена на повышение качества государственного управления и


призвана скоординировать деятельность органов государственной власти,
государственных, корпоративных и общественных организаций по защите национальных
интересов России и обеспечению безопасности личности, общества и государства. В ней
сформулированы главные направления и задачи развития системы обеспечения
национальной безопасности России, а также стратегические национальные приоритеты и
меры в области внутренней и внешней политики.

 Федеральный закон №390-ФЗ "О безопасности" утвержден Президентом


Российской Федерации 28 декабря 2010г.

За годы действия Закона Российской Федерации от 5 марта 1992 года №2446-1 «О


безопасности» существенно изменился характер реальных внешних и внутренних
опасностей и угроз, участились природные и техногенные катастрофы, возникли
принципиально новые проблемы в области взаимоотношений с иностранными
государствами и альянсами. Серьёзные изменения претерпела стратегия международного
сотрудничества в области обеспечения безопасности.

Новые угрозы и вызовы изменили содержание и направленность деятельности


Российского государства по обеспечению безопасности. Соответственно потребовались
корректировка действующего Закона «О безопасности», расширение и уточнение целей и
задач, стоящих перед Россией в этой области, а также полномочий органов
государственной власти по обеспечению безопасности государства, общественной
безопасности, экологической безопасности, безопасности личности, иных видов
безопасности, предусмотренных законодательством Российской Федерации.

В Федеральном законе определяются основные принципы обеспечения


безопасности и устанавливаются полномочия Президента Российской Федерации,
Федерального Собрания Российской Федерации, Правительства Российской Федерации,
федеральных органов исполнительной власти, функции органов государственной власти
субъектов Российской Федерации и органов местного самоуправления в области
безопасности.

 Федеральный закон №63-ФЗ "Об электронной подписи" утвержден


Президентом Российской Федерации 6 апреля 2011г.

Отношения в области использования электронных подписей регулируются


настоящим Федеральным законом, другими федеральными законами, принимаемыми в
соответствии с ними нормативными правовыми актами, а также соглашениями между
участниками электронного взаимодействия. Если иное не установлено федеральными
законами, принимаемыми в соответствии с ними нормативными правовыми актами или
решением о создании корпоративной информационной системы, порядок использования
электронной подписи в корпоративной информационной системе может устанавливаться
оператором этой системы или соглашением между участниками электронного
взаимодействия в ней.

Виды электронных подписей, используемых органами исполнительной власти и


органами местного самоуправления, порядок их использования, а также требования об
обеспечении совместимости средств электронных подписей при организации
электронного взаимодействия указанных органов между собой устанавливает
Правительство Российской Федерации.

Вывод:

Данный раздел кратко представляет наиболее значимые документы в области


информационной безопасности, начиная с 1992г. Таким образом, можно сказать, что за
прошедшие годы в России сделано достаточно много, но по-прежнему наблюдается
отставание от европейских стран в отдельных сферах, например, в сфере персональных
данных.

1.3. Механизмы обеспечения информационной безопасности

Классически считалось, что обеспечение безопасности информации складывается


из трех составляющих: конфиденциальности, целостности и доступности. Точками
приложения процесса защиты информации к информационной системе являются
аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации).
Сами процедуры (механизмы) защиты разделяются на защиту физического уровня,
техническую защиту и организационный уровень.

Защита физического уровня подразумевает физическую охрану технических


средств информационной системы (устройств и носителей информации),
предусматривающую контроль доступа в помещения посторонних лиц, наличие надежных
препятствий для несанкционированного проникновения в помещения и хранилище
носителей информации.

Организационная защита — это регламентация производственной деятельности и


взаимоотношений исполнителей на нормативно-правовой основе, исключающей или
существенно затрудняющей неправомерное овладение конфиденциальной информацией и
проявление внутренних и внешних угроз.

К основным организационным мероприятиям можно отнести:

 организацию работы с сотрудниками, которая предусматривает подбор и


расстановку персонала, включая ознакомление с сотрудниками, их изучение,
обучение правилам работы с конфиденциальной информацией, ознакомление с
мерами ответственности за нарушение правил защиты информации и др.;

 организацию работы с документами и документированной информацией, включая


организацию разработки и использования документов и носителей
конфиденциальной информации, их учет, исполнение, возврат, хранение и
уничтожение;

 организацию использования технических средств сбора, обработки, накопления и


хранения конфиденциальной информации;
 организацию работы по анализу внутренних и внешних угроз конфиденциальной
информации и выработке мер по обеспечению ее защиты;

 организацию работы по проведению систематического контроля за работой


персонала с конфиденциальной информацией, порядком учета, хранения и
уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую


для данной организации форму и содержание, направленные на обеспечение безопасности
информации в конкретных условиях.

Техническая защита – это различные программно-технические способы и средства


обеспечения информационной безопасности.

В литературе предлагается следующая классификация средств защиты


информации.

 Средства защиты от несанкционированного доступа (НСД):

 Средства авторизации;

 Мандатное управление доступом;

 Избирательное управление доступом;

 Управление доступом на основе ролей;

 Протоколирование (или аудит).

 Системы мониторинга сетей:

 Системы обнаружения и предотвращения вторжений (IDS/IPS);

 Системы предотвращения утечек конфиденциальной информации (DLP-


системы).

 Анализаторы протоколов.

 Антивирусные средства.

 Межсетевые экраны.

 Криптосредство - шифровальное (криптографическое) средство, предназначенное


для защиты информации. В частности, к криптосредствам относятся средства
криптографической защиты информации (СКЗИ) - шифровальные
(криптографические) средства защиты информации с ограниченным доступом:

 Средства шифрования - аппаратные, программные и аппаратно–программные


средства, системы и комплексы, реализующие алгоритмы криптографического
преобразования информации и предназначенные для защиты информации при
передаче по каналам связи и (или) для защиты информации от
несанкционированного доступа при ее обработке и хранении;

 Средства имитозащиты - аппаратные, программные и аппаратно–программные


средства, системы и комплексы, реализующие алгоритмы криптографического
преобразования информации и предназначенные для защиты от навязывания
ложной информации;

 Средства электронной цифровой подписи;

 Средства кодирования – средства, реализующие алгоритмы


криптографического преобразования информации с выполнением части
преобразования путем ручных операций или с использованием
автоматизированных средств на основе таких операций;

 Средства изготовления ключевых документов (независимо от вида носителя


ключевой информации);

 Ключевые документы (независимо от вида носителя ключевой информации) -


физические носители определенной структуры, содержащие криптоключи.

 Системы резервного копирования.

 Системы бесперебойного питания:

 Источники бесперебойного питания;


 Резервирование нагрузки;
 Генераторы напряжения.

 Системы аутентификации:

 Пароль;
 Ключ доступа;
 Сертификат;
 Биометрия.

 Средства предотвращения взлома корпусов и краж оборудования (опечатывание


корпуса).

 Инструментальные средства анализа систем защиты:

 Мониторинговый программный продукт.