logo
Гольдштейн_учебники / Телекоммуникационные системы и сети - КНИГА

17.2. Правовые и организационные аспекты информационной безопасности

Правовые аспекты. Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве развитых стран мира. Компьютер-ные преступления получили такое широкое распространение, что для борьбы с ними введены специальные статьи в уголовный кодекс.

До принятия нового Гражданского кодекса России источниками права на информацию были правовой обычай и договор, а также отдельные нормы законов, зачастую противоречащих друг другу [3]. С введением в действие нового кодекса впервые в нашем зако-нодательстве информация стала полноправным объектом права

(ст. 128ГКРФ).

Значительным шагом в деле правового обеспечения деятельности по защите информации явилось принятие Федеральным Собранием России закона «Об информации, информатизации и защите инфор-мации» [2]. В нем впервые официально вводится понятие «конфиден-циальной информации», которая рассматривается как информация, не являющаяся общедоступной. Закон устанавливает общие право-вые требования к организации защиты данных в процессе обработки, хранения и циркуляции в технических устройствах и сетях связи контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

Закон утверждает на государственно-правовом уровне электрон-ную цифровую подпись в качестве средства защиты информации от несанкционированного искажения, подмены (имитозащиты) и под-тверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 «юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью». При этом «юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». В законе раскрываются требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.

В течение первой половины 1995 г. правительством Российской Федерации во исполнение закона «О государственной тайне» приня-ты постановления «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с ис-пользованием сведений, составляющих государственную тайну, соз-данием средств защиты информации, а также с осуществлением ме-роприятий и (или) оказанием услуг по защите государственной тай-ны» (№ 333 от 15 апреля 1995 г.) и «О сертификации средств защиты информации» (№ 608 от 26.06.95 г.).

Указанные постановления формируют механизм получения пред-приятиями и организациями (независимо от их организационно-правовой формы) лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначен-ных для защиты секретной информации.

Принятый Государственной думой Федеральный закон «Об уча-стии в международном информационном обмене» от 5 июня 1996 г. № 85-ФЗ определяет необходимость сертификации средств и лицен-зирования деятельности в области международного информационно-го обмена при работе с конфиденциальной информацией. Закон пре-доставляет ФАПСИ право участвовать в определении ограничений на вывоз из Российской Федерации и ввоз в нашу страну иностран-ных информационных продуктов, а также утверждения порядка ли-цензирования деятельности, сертификации средств и аттестования систем международного обмена при работе с конфиденциальными сведениями.

Перечисленные нормативные акты утвердили полномочия и ком-петенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.

Организационные аспекты [4]. Включают в себя выработку поли-тики информационной безопасности; анализ рисков (т.е. ситуаций, в которых может произойти нарушение нормальной работы информа-ционной системы, а также утрата или рассекречивание данных); пла-нирование обеспечения информационной безопасности; планирова-ние действий в чрезвычайных ситуациях; подбор средств обеспече-ния информационной безопасности. Перейдем к более подробному рассмотрению перечисленных выше задач.

Политика информационной безопасности определяет:

- какую информацию и от кого (чего) следует защищать;

- кому и какая информация требуется для выполнения служебных обязанностей;

- какая степень защиты требуется для каждого вида информации;

- чем грозит потеря того или иного вида информации;

- как организовать работу по защите информации.

Решения по этим вопросам принимают руководители организа-ции, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финанси-рования работ по обеспечению выбранного уровня информационной безопасности.

Для выработки политики информационной безопасности необхо-димо провести исследования. Сначала осуществляется сбор инфор-мации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функ-циональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в системе; перечня применяемых системных и прикладных программ (ком-плексов) с указанием используемых и порождаемых ими информаци-онных объектов; описания топологии комплекса технических средств компьютерной системы.

Потом производится обработка и систематизация полученных данных. Информационные объекты могут быть классифицированы по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери данной информации (или по выгоде для конкурента при ее получении), по трудоемкости ее восстановления.

Наконец, планируется организационное обеспечение информаци-онной безопасности. Идеальная схема предполагает наличие незави-симого подразделения информационной безопасности, которое под-чинено одному из первых лиц организации. Основными функциями этого подразделения являются предоставление пользователям дос-тупа к информации в соответствии с принятой в организации полити-кой безопасности, а также контроль за соблюдением принятой поли-тики безопасности и ее проведение на различных уровнях.

Анализ рисков заключается в определении, изучении и системати-зации. Также формируются требования к средствам обеспечения ин-формационной безопасности и осуществляется выбор соответствую-щих программных и технических решений.

По результатам анализа составляется отчет, содержащий пере-чень рисков, упорядоченных по степени их «опасности», и рекомен-дации по снижению вероятности возникновения опасных ситуаций. Проведенный анализ должен предоставить руководству предприятия всю информацию, которая необходима для принятия решений, по возможности, альтернативных. Например, принять меры, снижающие вероятность возникновения опасной ситуации и/или уменьшающие возможный ущерб в случае отказа информационной системы, а также несанкционированного доступа к данным, воздержаться от принятия определенных защитных мер и пойти на «рассчитанный» риск.

Планирование обеспечения безопасности состоит в разработке документа, содержащего описание мер, средств и способов обеспе-чения информационной безопасности. Этот документ определяет и последовательность действий, направленных на реализацию ком-плекса мер по обеспечению информационной безопасности, которая должна быть утверждена руководством организации.

Планирование действий в чрезвычайной ситуации состоит в раз-работке документа, определяющего, за счет каких резервных средств будет обеспечено функционирование организации в условиях выхода из строя ее информационной системы, а также намечающего меры по восстановлению работоспособности этой системы. План действий в чрезвычайной ситуации разрабатывается на основе результатов анализа рисков.

Средства обеспечения информационной безопасности можно ус-ловно разделить на следующие группы:

- системы контроля доступа (управляют правами доступа пользо-вателей, регистрируют обращения к защищаемым данным, осущест-вляют аутентификацию пользователей и сетевых систем);

- системы шифрования информации (кодируют данные, храня-щиеся на локальных дисках пользователей и передаваемые по теле-коммуникационным каналам);

- системы электронно-цифровой подписи (обеспечивают аутен-тификацию получаемой информации и контроль ее целостности);

- системы антивирусной защиты (контролируют состояние памяти вычислительных систем, предотвращают заражение файлов на ло-кальных и сетевых дисках, а также распространение вирусов по сети);

- системы защиты firewall (осуществляют авторизацию входяще-го и исходящего трафика между локальной компьютерной сетью и Internet);

- системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в слу-чае необходимости, ее восстановление на жестких дисках компьюте-ров предприятия).

В заключение необходимо отметить, что само по себе наличие да-же самых совершенных планов обеспечения информационной безо-пасности не может служить гарантией безопасности данных и надеж-ности работы информационной инфраструктуры. Залогом эффектив-ной работы информационной инфраструктуры и системы безопасно-сти являются постоянный контроль за выполнением всех требований политики информационной безопасности, взаимодействие всех ответственных лиц, обучение специалистов и пользователей тому, как нужно действовать в чрезвычайной ситуации.