Общая характеристика информационной безопасности

— не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека);

— добавлены новые принципы обеспечения безопасности (приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления).

Что государственная информационная политика должна опираться на следующие базовые принципы:

— открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом и государство учитывает общественное мнение);

— равенство интересов (политика в равной степени учитывает интересы всех участников информационной деятельности вне зависимости от их положения в обществе, формы собственности и государственной принадлежности);

— системность (при реализации принятых решений по изменению состояния одного из объектов регулирования должны учитываться его последствия для состояния других и всех в совокупности);

— приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);

— социальная ориентации (основные мероприятия должны быть направлены на обеспечение социальных интересов граждан России);

— государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы финансируются преимущественно государством);

— приоритетность права (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы).

Таким образом, можно сделать вывод, что необходима как взаимная корректировка принципов обеспечения национальной безопасности и реализации информационной политики, так и учет ряда приведенных принципов при обеспечении информационной безопасности. Исходя из этого к принципам обеспечения информационной безопасности можно отнести:

— законность (соблюдение норм международного права, Конституции Российской Федерации и законодательства Российской Федерации при осуществлении деятельности по обеспечению информационной безопасности);

— сбалансированность (соблюдение баланса интересов субъектов, их взаимная ответственность);

— системность;

— открытость;

— реальность выдвигаемых задач (с учетом имеющихся ресурсов, сил и средств);

— сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления;

— интеграция с международными системами обеспечения информационной безопасности.

Аналогичный подход, по-видимому, необходимо применить и при определении задач и функций обеспечения информационной безопасности, учитывая при этом результаты сравнительного и системного анализа других нормативных документов и разработок по этим вопросам14.

Вывод: К основным задачам в сфере обеспечения информационной безопасности относятся:

— формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность;

— совершенствование законодательства Российской Федерации в сфере обеспечения информационной безопасности;

— определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения информационной безопасности;

— координация деятельности органов государственной власти по обеспечению информационной безопасности;

— создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

— совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

— развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем15;

— развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

— защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;

— духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

—сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

— пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

— повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — участников СНГ;

— создание оптимальных социально — экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

— противодействие угрозе развязывания противоборства в информационной сфере;

— организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство.

Для успешного выполнения указанных задач необходима единая государственная система, как главный компонент обеспечения информационной безопасности. При формировании такой системы необходимо учесть положительный опыт успешного функционирования в РФ государственной системы по защите государственной тайны.

3. Функции государственной системы по обеспечению информационной безопасности.

 

Для реализации указанных задач государственной системой обеспечения информационной безопасности должны осуществляться следующие функции:

— оценка состояния информационной безопасности в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях;

— выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации;

— определение основных направлений предотвращения угроз или минимизации ущерба от их реализации;

— организация исследований в сфере обеспечения информационной безопасности;

— разработка и принятие законов и иных нормативных правовых актов;

— разработка федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации;

— организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере;

— страхование информационных рисков;

— подготовка специалистов по обеспечению информационной безопасности, в том числе из числа работников правоохранительных и судебных органов;

— информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности и работе государственных органов в этой сфере;

— изучение практики обеспечения информационной безопасности, обобщение и пропаганда передового опыта такой работы в регионах;

— правовая защита прав и интересов граждан, интересов общества и государства в сфере информационной безопасности;

— организация обучения способам и методам самозащиты физических лиц от основных угроз в информационной сфере;

— содействие разработке и принятию норм международного права в сфере обеспечения информационной безопасности;

— установление стандартов и нормативов в сфере обеспечения информационной безопасности. Поскольку от эффективности выполнения последней указанной функции, во многом, напрямую зависят сроки и возможности организации системы обеспечения информационной безопасности, то рассмотрю ее содержание подробнее.

В Российской Федерации сейчас насчитывается более 22 тысяч действующих стандартов. Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Девять ГОСТов: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29. 339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96 относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты информации. Кроме того есть семейства родственных стандартов, имеющих отношение к области защиты информации:

— системы тревожной сигнализации, комплектуемые извещателями различного принципа действия — 12 ГОСТов;

— информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т. д.) — около 200 ГОСТов;

— системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) — больше 100 ГОСТов.

Отсутствуют стандарты в сфере информационно — психологической безопасности.

Для оценки компьютерных систем Министерства обороны США Национальный Центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG- 011, известные, как Красная книга (по цвету переплета). В качестве ответа Агентство информационной безопасности ФРГ подготовило GREEN Book (Зеленая книга), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.

В 1990 году Зеленая книга была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе была подготовлены ITSEC (Критерии Оценки Защищенности Информационных Технологий) или Белая книга, как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачу данных). С учетом интеграции России в общеевропейские структуры рассмотрим подробнее положения европейского стандарта.

В Белой книге названы основные компоненты безопасности критериев ITSEC:

1. Информационная безопасность;

2. Безопасность системы;

3. Безопасность продукта;

4. Угроза безопасности;

5. Набор функций безопасности;

6. Гарантированность безопасности;

7. Общая оценка безопасности;

8. Классы безопасности.

Согласно европейских критериев ITSEC, информационная безопасность включает в себя шесть основных элементов ее детализации:

1. конфиденциальность информации (защита от несанкционированного получения информации);

2. целостность информации (защита от несанкционированного изменения информации);

3. доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

4. цели безопасности (зачем нужны функции информационной безопасности);

5. спецификация функций безопасности:

— идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в т. ч. средств контроля целостности и функции для ограничения количества повторных попыток аутентификации);

— управление доступом (в том числе функции безопасности, которые обеспечивают: временное ограничение доступа к совместно используемым объектам, с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);

— подотчетность (протоколирование);

— аудит (независимый контроль);

— повторное использование объектов;

— точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));