Информационная безопасность РФ

Основные задачи и правовые основы российской системы защиты информации. Противодействие доступу к сведениям, составляющим государственную и служебную тайну. Осуществление контроля за лицензированием деятельности предприятий в области шифрования данных.

Рубрика Государство и право
Вид реферат
Язык русский
Дата добавления 29.09.2018
Размер файла 262,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://allbest.ru

Информационная безопасность РФ

Введение

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

- конституционные права и свободы граждан, предприятий и организаций в сфере информатизации;

- необходимый уровень безопасности информации, подлежащей защите;

- защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.

1. Правовые основы обеспечения информационной безопасности

Правовая защита информационных ресурсов это специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Правовая защита информации признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами.

Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают:

- Законы Российской Федерации;

- Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы;

- Постановления Правительства РФ и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.);

- Государственные и отраслевые стандарты;

- Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).

Федеральные законы и другие нормативные акты предусматривают:

- разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:

o отнесенную к государственной тайне

o отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн);

o другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;

- правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:

- в отношении сведений, отнесенных к государственной тайне, уполномоченными государственными органами на основании Закона Российской Федерации «О государственной тайне» (от 21.07.93 г. N 5485-1);

- в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации «Об информации, информатизации и защите информации» (от 20.02.95 г. N 24-ФЗ);

- в отношении персональных данных отдельным федеральным законом;

- лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;

- аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);

- сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;

- возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством РФ;

- создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;

- определение прав и обязанностей субъектов в области защиты информации. Правовое обеспечение информационной безопасности РФ должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов РФ при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.

Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ.

Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности. Разработка механизмов правового обеспечения информационной безопасности РФ включает в себя мероприятия по информатизации правовой сферы в целом. В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов РФ и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.

2. Источники и содержание угроз в информационной сфере

По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды:

· угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

· угрозы информационному обеспечению государственной политики РФ;

· угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

· угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:

· принятие федеральными органами государственной власти, органами государственной власти субъектов РФ нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

· создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;

· противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

· нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;

· противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;

· неисполнение федеральными органами государственной власти, органами государственной власти субъектов РФ, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;

· неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

· дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

· нарушение конституционных прав и свобод человека и гражданина в области массовой информации;

· вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;

· девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

· снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;

· манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозами информационному обеспечению государственной политики РФ могут являться:

· монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

· блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

· низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:

· противодействие доступу РФ к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;

· закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;

· вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

· увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:

· противоправные сбор и использование информации;

· нарушения технологии обработки информации;

· внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

· разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;

· уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

· воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

· компрометация ключей и средств криптографической защиты информации;

· утечка информации по техническим каналам;

· внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

· уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

· перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

· использование сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;

· несанкционированный доступ к информации, находящейся в банках и базах данных;

· нарушение законных ограничений на распространение информации.

Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние. К внешним источникам относятся:

· деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов РФ в информационной сфере;

· стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

· обострение международной конкуренции за обладание информационными технологиями и ресурсами;

· деятельность международных террористических организаций;

· увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

· деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

· разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам относятся:

· критическое состояние отечественных отраслей промышленности;

· неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

· недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

· недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

· неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

· недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;

· недостаточная экономическая мощь государства;

· снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

· недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

· отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

3. Государственная система защиты информации

Государственная политика обеспечения информационной безопасности РФ определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ в этой области, порядок закрепления их обязанностей по защите интересов РФ в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в »Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Рисунок 2 - Структура государственной системы защиты информации РФ

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами »Об информации, информатизации и защите информации» и »О государственной тайне» комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

- проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

- исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

- принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

- общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

- контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

Государство в процессе реализации своих функций по обеспечению информационной безопасности РФ выполняет следующие функции:

· проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности РФ, разрабатывает меры по ее обеспечению;

· организует работу законодательных (представительных) и исполнительных органов государственной власти РФ по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности РФ;

· поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

· осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

· проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

· способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России;

· организует разработку федеральной программы обеспечения информационной безопасности РФ, объединяющей усилия государственных и негосударственных организаций в данной области;

· способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

В соответствии с Указом Президента Российской Федерации № 212 от 19.02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

Согласно Постановлению Правительства РФ от 12.09.93 г. №912-51 Гостехкомиссия России возглавляет Государственную систему защиты информации. правовой российский защита шифрование информация

В соответствии с Законом Российской Федерации »О федеральных органах правительственной связи и информации», к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

- осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

- осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ »Об органах Федеральной службы безопасности в Российской Федерации» к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

- участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

- осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

- осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности РФ.

Это предполагает:

· оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;

· создание организационно-правовых механизмов обеспечения информационной безопасности;

· определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства РФ в данной сфере;

· создание системы сбора и анализа данных об источниках угроз информационной безопасности РФ, а также о последствиях их осуществления;

· разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий;

· разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство РФ о государственной службе;

· совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности РФ.

3.1 Лицензирование деятельности предприятий, учреждений и организаций в области защиты информации

Законодательство Российской Федерации предусматривает установление Правительством РФ порядка ведения лицензионной деятельности, перечня видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности.

Деятельность в области защиты информации регулируются совместным решением Гостехкомиссии России и ФАПСИ от 27 апреля 1994 № 10, которым утверждено и введено в действие с 1 июня 1994 г. »Положение о государственном лицензировании деятельности в области защиты информации», а также закреплены за ними конкретные виды деятельности и области защиты информации (Приложение 1 к данному Положению).

В соответствии с «Перечнем видов деятельности предприятий в области защиты информации, подлежащих лицензированию ФАПСИ» лицензированию подлежит »Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержаний сведений, составляющих государственную тайну».

В новом Федеральном законе от 8.08.2001 г. № 128-ФЗ »О лицензировании отдельных видов деятельности», который вступает в силу с февраля 2002 года и приходит на смену одноименному Федеральному закону от 25.09.1998 года № 158-ФЗ, в Перечне видов деятельности, на осуществление которых требуется лицензия, этого вида деятельности (эксплуатация СКЗИ) уже нет.

В новом законе в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:

- деятельность по распространению шифровальных (криптографических) средств;

- деятельность по техническому обслуживанию шифровальных (криптографических) средств;

- предоставление услуг в области шифрования информации;

- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

- деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

- деятельность по технической защите конфиденциальной информации;

- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.

3.2 Сертификация средств защиты информации и объектов информатизации

Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты:

- (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.0 1БИ 00;

- (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) № РОСС RU .0001.030001;

- (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ) №РОСС RU.0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации. К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

- в области защиты информации от несанкционированного доступа:

* комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом «О стандартизации» можно отнести к отраслевым стандартам, в том числе:

ь «Защита от несанкционированного доступа к информации. Термины и определения»;

ь «Концепция защиты СВТ и АС от НСД к информации»;

ь «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»;

ь «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ»;

ь «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

ь «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ»;

ь «Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов»;

ь «Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей»;

§ ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от НСД к информации. Общие технические требования»;

§ ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

- в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

* «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН» (Решение Председателя Гостехкомиссии СССР, 1977г.);

* «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.97 г. № 55);

* ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования»;

* ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний»

* методики контроля защищенности объектов ЭВТ и другие;

- в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

* ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

* ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

* ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;

* ГОСТ Р 34.11 -94 «Функция хеширования»;

* «Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику» (ПШ-93);

* Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие;

* «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152 ).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000-2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380 и введен в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.

3.3 Аттестация систем информатизации

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию Гостехкомиссии России на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Гостехкомиссии России.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

3.4 Юридическая значимость электронной цифровой подписи

Федеральный закон «Об электронной цифровой подписи» (№ 1-ФЗ, подписан президентом РФ 10 января 2002 г.) определяет основные понятия, связанные с ЭЦП следующим образом:

· электронный документ документ, в котором информация представлена в электронно-цифровой форме;

· электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

· средства ЭЦП аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

· сертификат средства ЭЦП документ на бумажном носителе, выданный соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;

· закрытый ключ ЭЦП уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП;

· открытый ключ ЭЦП уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи в электронном документе;

· сертификат ключа подписи документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

· владелец сертификата ключа подписи физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

· подтверждение подлинности электронной цифровой подписи в электронном документе положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;

· пользователь сертификата ключа подписи физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;

· информационная система общего пользования информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

· корпоративная информационная система информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Основной целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и обязанности автора подписи, технологию удостоверения подписи. Закон определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами. В законе устанавливаются права и обязанности обладателя электронной цифровой подписи. Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.

В законе устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров.

Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация.

Закон исходит из того, что деятельность удостоверяющего центра по выдаче сертификатов ключей подписи в информационных системах общего пользования подлежит лицензированию.

Законом предусматривается защита прав лиц, использующих ЭЦП в процессах электронного обмена документами, и условия приостановления действия и (или) аннулирования сертификата ключа подписи.

Наиболее значимым моментом закона «Об ЭЦП» является определение условий, при которых ЭЦП признается равнозначной собственноручной подписи физического лица. В статье 4 («Условия признания равнозначности электронной цифровой подписи и собственноручной подписи») определены следующие положения:

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:

* сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) па момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

* подтверждена подлинность электронной цифровой подписи в электронном документе;

* электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной - цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон (ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки).

Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору (ПС РФ. Часть 1. Глава 28. Статья 434. Форма договора).

3. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке установленном законодательством РФ (.Федеральный Закон «Об информации, информатизации и защите информации» Статья 5. Документирование информации).

4. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования.

5. Право удостоверять идентичность ЭЦП осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством РФ.

В комментариях к этому закону, изданных Комитетом при Президенте РФ по политике информатизации, Института государства и права РАН, НТЦ «Информсистема» сказано, что «Для признания ЭЦП необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования».

Таким образом, применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

Эксплуатация (использование) сертифицированных средств шифрования и электронной цифровой подписи может осуществляться в соответствии с действующим законодательством только на основании лицензии ФАПСИ.

Список литературы

1. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. - Москва: Наука, 2015. - 552 c.

2. Бабаш, А. В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.

3. Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Основы информационно-психологической безопасности: моногр. . - М.: Международный гуманитарный фонд "Знание", 2014. - 416 c.

4. Безопасность ребенка. Информационный стенд. - М.: Сфера, Ранок, 2013. - 787 c.

5. Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2015. - 368 c.

6. Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2014. - 336 c.

7. Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c.

8. Девянин, П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П.Н. Девянин. - М.: Радио и связь, 2013. - 176 c.

9. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт / Л.Л. Ефимова, А С. А, Кочерга. - М.: Юнити-Дана, 2013. - 240 c.

10. Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Машиностроение, 2016. - 536 c.

11. Информационная безопасность открытых систем. В 2 томах. Том 2. Средства защиты в сетях / С.В. Запечников и др. - Москва: СПб. [и др.] : Питер, 2014. - 560 c.

12. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Academia, 2017. - 336 c.

13. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Академия, 2013. - 336 c.

14. Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Москва: Мир, 2013. - 336 c.

15. Мельников, В.П. Информационная безопасность и защита информации / В.П. Мельников. - М.: Академия (Academia), 2016. - 282 c.

16. Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2016. - 368 c.

17. Партыка, Т.Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: ИНФРА-М, 2015. - 368 c.

18. Петров, Сергей Викторович; Кисляков Павел Александрович Информационная Безопасность / Александрович Петров Сергей Викторович; Кисляков Павел. - Москва: СПб. [и др.] : Питер, 2013. - 329 c.

Размещено на Allbest.ru


Подобные документы

  • Понятие об информации, информационных ресурсах, их место в современном праве. Признаки информации с ограниченным доступом. Правовой режим защиты, составляющей государственную, служебную, профессиональную тайну; обеспечения недоступности третьим сторонам.

    реферат [24,6 K], добавлен 13.12.2013

  • Информация, как важнейшая часть современной коммуникативной системы. Правовое регулирование в области безопасности информации. Нормативно-правовые документы, регулирующие защиту информации. Организационно-правовые формы защиты государственной тайны.

    контрольная работа [20,4 K], добавлен 03.11.2009

  • Понятие и сущность Государственной тайны, виды компьютерной информации. Вирусы как источник умышленной угрозы безопасности данных. Блок законов Российской Федерации о защите информации. Использование Криптографических и парольных методов защиты файлов.

    реферат [66,1 K], добавлен 22.02.2011

  • Понятие государственной тайны, ее место и значение в жизни государства, порядок и методы защиты. Сведения из различных областей, относящиеся к государственной тайне и нет. Порядок и формы допуска к тайне, основания для отказа в ее предоставлении.

    реферат [18,3 K], добавлен 29.09.2009

  • Базовые принципы, которые должна обеспечивать информационная безопасность, ее нормативно-правовая база. Государственные органы РФ, контролирующие деятельность в области защиты информации, нормативные документы в данной области. Способы защиты информации.

    реферат [17,9 K], добавлен 24.09.2014

  • Исследование порядка оформления доступа арбитражного управляющего к сведениям, составляющим государственную тайну. Определение субъекта разглашения государственной тайны. Право бывшего сотрудника НИИ на получение заграничного паспорта и выезда за границу.

    контрольная работа [12,6 K], добавлен 11.10.2013

  • История и современное состояние защиты сведений составляющих государственную тайну. Уголовно-правовая характеристика утраты документов содержащих государственную тайну. Особенности применения и отличительные черты ст. 284 Уголовного кодекса России.

    курсовая работа [186,3 K], добавлен 06.05.2015

  • Сведения, составляющие государственную тайну, их классификация. Полномочия государственных органов по распоряжению сведениями отраслевой (ведомственной) принадлежности в рамках их компетенции. Межведомственная комиссия по защите государственной тайны.

    контрольная работа [26,4 K], добавлен 05.03.2010

  • Объекты обеспечения информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах. Сертификация средств защиты информации. Допуск к государственной тайне. Государственный надзор за деятельностью в области связи.

    лекция [48,3 K], добавлен 24.04.2011

  • Проблемы открытости и закрытости информации в демократическом государстве. Основные элементы административно-правового режима сведений, составляющих государственную тайну в Кыргызской Республике. Механизм надзора в сфере защиты государственной тайны.

    курсовая работа [36,9 K], добавлен 15.11.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.