Организационные основы системы обеспечения информационной безопасности России

Размещено на http://www.allbest.ru/

Федеральное Бюджетное Государственное Общеобразовательное Учреждение Высшего Профессионально Образования

«Дальневосточный Государственный Университет Путей сообщения»

Кафедра: Информационные технологии и системы

Контрольная работа

на тему:

«Организационные основы системы обеспечения информационной безопасности РФ»

Выполнила: Плотникова А.

Группа 21Б

Проверила: Березюк Л.П.

Хабаровск 2011

Оглавление

1. Сущность понятия «информационная безопасность»

1.1 Содержание понятия

1.2 Существенные признаки понятия

1.3 Реализация понятия «информационная безопасность»

1.4 Нормативные документы в области информационной безопасности

2. Органы, обеспечивающие информационную безопасность

2.1 Комитет Государственной думы по безопасности

2.1.1Сфера деятельности

2.1.2Структура комитета

2.2 Совет безопасности Российской Федерации

2.2.1 Состав Совета безопасности России

2.2.2 Структура Совета Безопасности Российской Федерации и его аппарата

2.2.3 Структура аппарата Совета Безопасности

2.3 Федеральная служба безопасности Российской Федерации

2.3.1 Направления деятельности

2.3.1.1 Обеспечение информационной безопасности

2.3.1.2 Организационно-технические и режимные меры и методы

2.3.1.3 Организационная защита объектов информатизации



1. Сущность понятия «информационная безопасность»

1.1 Содержание понятия

безопасность информационный россия

В то время как информационная безопасность -- это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации -- целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации -- это последовательность действий для достижения определённой цели.

Информационная безопасность государства -- состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие:

информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.);

информационно-психологическую (естественный мир живой природы, включающий и самого человека).

Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями:

информационно-технической безопасностью;

информационно-психологической (психофизической) безопасностью.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

конфиденциальность (англ. confidentiality) -- состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;

целостность (англ. integrity) -- избежание несанкционированной модификации информации;

доступность (англ. availability) -- избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

неотказуемость или апеллируемость (англ. non-repudiation) -- невозможность отказа от авторства;

подотчётность (англ. accountability)-- обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность (англ. reliability) -- свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность (англ. authenticity) -- свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

1.3 Реализация понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

Законодательная, нормативно-правовая и научная база.

Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

Организационно-технические и режимные меры и методы (Политика информационной безопасности).

Программно-технические способы и средства обеспечения информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

выявить требования защиты информации, специфические для данного объекта защиты;

учесть требования национального и международного Законодательства;

использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

определить подразделения, ответственные за реализацию и поддержку СОИБ;

распределить между подразделениями области ответственности в осуществлении требований СОИБ;

на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

1.4 Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Международные стандарты;

Государственные (национальные) стандарты РФ;

Рекомендации по стандартизации;

Методические указания.



2. Органы, обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет Государственной думы по безопасности;

Совет безопасности России;

Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

Федеральная служба безопасности Российской Федерации (ФСБ России);

Служба внешней разведки Российской Федерации (СВР России);

Министерство обороны Российской Федерации (Минобороны России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

Служба экономической безопасности;

Служба безопасности персонала (Режимный отдел);

Отдел кадров;

Служба информационной безопасности.

2.1 Комитет Государственной думы по безопасности

Комитет Государственной Думы по безопасности -- структура в Государственной Думе Федерального собрания России, в ведении которой находятся рассмотрение и подготовка законопроектов по вопросам безопасности государства и граждан. Председатель комитета -- Владимир Абдуалиевич Васильев.

2.1.1 Сфера деятельности

Комитет занимается подготовкой законопроектов о регулировании ФСБ, МВД, МЧС, Федеральной службы исполнения наказаний, Государственной фельдъегерской службы, Службы внешней разведки, Федеральной службы охраны, Федеральной таможенной службы, Федеральной службы России по контролю за оборотом наркотических средств и психотропных веществ, Следственного комитета и органов прокуратуры, Федеральной службы по экологическому, технологическому и атомному надзору. Кроме того, к вопросам ведения комитета относятся борьба с организованной преступностью, наркобизнесом, терроризмом, экстремизмом.

2.1.2 Структура комитета

Подкомитет по законодательству в сфере обеспечения национальной безопасности, деятельности разведывательных и специальных служб

Подкомитет по законодательству о финансировании правоохранительных органов, спецслужб и социальной защиты военнослужащих, сотрудников и членов их семей

Подкомитет по законодательству в сфере борьбы с транснациональной преступностью и терроризмом и международному сотрудничеству в этой области

Подкомитет по законодательству в сфере обеспечения общественной безопасности и деятельности правоохранительных органов

Подкомитет по законодательству в сферах обеспечения региональной, транспортной безопасности, деятельности единой системы предупреждения и ликвидации последствий чрезвычайных ситуаций

Подкомитет по законодательству в сферах контроля за оборотом оружия, наркотических средств и психотропных веществ, борьбы с нелегальной миграцией.

2.2 Совет безопасности Российской Федерации

Совемт безопамсности Россимйской Федерамции (Совбез России) -- совещательный орган, осуществляющий подготовку решений Президента Российской Федерации по вопросам обеспечения защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики по обеспечению национальной безопасности. Совет безопасности обеспечивает условия для реализации Президентом Российской Федерации его конституционных полномочий по защите прав и свобод человека и гражданина, охране суверенитета Российской Федерации, её независимости и государственной целостности. Полномочия Совета и его секретаря был существенно расширены в соответствии с Указом N 590 президента Дмитрия Медведева от 6 мая 2011 года.

2.2.1 Состав Совета безопасности России

Порядок формирования Совета безопасности определяется Президентом Российской Федерации в соответствии с Конституцией и Законом Российской Федерации «О безопасности». Постоянные члены и члены Совета безопасности назначаются Президентом -- Председателем Совета безопасности. Ему непосредственно подчинен Секретарь Совета безопасности, который обеспечивает деятельность Совета безопасности, руководит его аппаратом и проводит рабочие совещания с членами Совбеза. В остальном вопросы деятельности СБ решает Президент.

В настоящее время постоянные члены и члены Совета безопасности назначаются на персональной основе (а не по должности). Решения Совета безопасности по важнейшим вопросам оформляются Указами Президента, иные решения -- протоколами. Число непостоянных членов Совета безопасности в разное время составляло от 7 (лето 1996 года) до 19 (в 2001--2002 годы) человек; все они имеют право совещательного голоса на заседаниях.

2.2.2 Структура Совета Безопасности Российской Федерации и его аппарата

Аппарат Совета Безопасности является самостоятельным подразделением Администрации Президента и имеет статус Управления Президента.

В соответствии с основными задачами и направлениями деятельности Совет Безопасности образует межведомственные комиссии -- основные рабочие органы Совета. В зависимости от возлагаемых на них задач они могут создаваться по функциональному или региональному признаку, на постоянной или временной основе.

В целях научного обеспечения деятельности Совета Безопасности при нём образован научный совет.

2.2.3 Структура аппарата Совета Безопасности

В соответствии с Положением об аппарате Совета Безопасности Российской Федерации, утверждённым Указом Президента Российской Федерации от 7 июня 2004 г. № 726, структурными подразделениями аппарата Совета Безопасности являются департаменты. Эта структура была подтверждена и Положением об аппарате Совета Безопасности Российской Федерации, утверждённым Указом Президента Российской Федерации от 6 мая 2011 г. № 590. Действующая структура аппарата, в соответствии с Положением, была утверждена Руководителем Администрации Президента Российской Федерации и не была опубликована.

2.3 Федеральная служба безопасности Российской Федерации

Федерамльная слумжба безопамсности Россимйской Федерамции (ФСБ России) -- единая централизованная система органов федеральной службы безопасности, осуществляющая в пределах своих полномочий решение задач по обеспечению безопасности Российской Федерации. Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации. Создана в июне 1995 г. путём преобразования (переименования) Федеральной службы контрразведки Российской Федерации.

2.3.1 Направления деятельности

В соответствии со статьёй 8 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности», деятельность органов ФСБ осуществляется по следующим основным направлениям:

* контрразведывательная деятельность;

* борьба с терроризмом;

* борьба с преступностью;

* разведывательная деятельность;

* пограничная деятельность;

* обеспечение информационной безопасности.

Иные направления деятельности органов ФСБ определяются федеральным законодательством. Права и обязанности Федеральной службы безопасности Российской Федерации установлены статьями 12 и 13 федерального закона «О федеральной службе безопасности» № 40-ФЗ.

2.3.1.1 Обеспечение информационной безопасности

Обеспечение информационной безопасности -- деятельность органов ФСБ, осуществляемая ими в пределах своих полномочий:

при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в России и её учреждениях, находящихся за пределами России.

2.3.1.2 Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) -- совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) -- правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

Защита объектов информационной системы;

Защита процессов, процедур и программ обработки информации;

Защита каналов связи;

Подавление побочных электромагнитных излучений;

Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного множества потенциально возможных угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях -- для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799--2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

2.3.1.3 Организационная защита объектов информатизации

Организационная защита -- это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

организацию охраны, режима, работу с кадрами, с документами;

использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

организацию режима и охраны. Их цель -- исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Размещено на Allbest.ru