Часть УI

Сущность и содержание информационной безопасности

Глава

Нормативно-правовое

обеспечение информационной безопасности Российской Федерации

22.1. Законодательство Российской Федерации и <доктрина информационной безопасности Российской Федерацииээ об основах государственной политики

обеспечения информационной

безопасности

В литературе широко используется определение информации как сведений о предметах, лицах, фактах, явлениях и процессах независимо от формы их представления (закон РФ «об информации, информатизации и защите информации»).

Не менее значимо и понятие безопасности. Безопасность — это состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз [86].

Информационная безопасность (ИБ) — это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государств (закон Рф 406 участии в международном информационном обмене»).

Занон — это главный и преимущественный по юридической силе нормативно-правовой акт современного государства. Он содержит правовые нормы, которые регламентируют наиболее важные стороны общественной и государственной жизни. Анализ нормативных правовых актов указывает на определенную закономерность. В федеральных законах, указах, распоряжениях, постановлениях, иных пра- новых актах все больший вес приобретает термин *информация. Фундаментальное право на информацию закреплено в ч. 1 ст. 29 Конституции РФ. Конституция РФ официально признает право граждан на информацию (п. 4 ст. 29) и гласит: *Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом*. Ряд статей Конституции РФ косвенным образом касается проблем права на информацию и гарантий его реализации. Из ч. З ст. 171 следует, что осуществление гражданином права на информацию не должно нарушать права и свободы других лиц. В случае нарушения права на информацию, как и в случае нарушения прочих прав и свобод, каждый вправе обращаться в межгосударственные органы

по зазците прав и свобод человека, если исчерпаны все имеющиеся внутригосу

дарственные средства правовой защиты (ст. 46). Затронуты и вопросы легитим

Iности ограничения свободы (ст. 19). Прочтение этой статьи позволяет сделать вывод о невозможности злоупотребления информацией о социальной, расовой,

национальной, религиозной, языковой принадлежности граждан. В ст. 55 определяется принцип ограничения прав на информацию, составляющую государственную тайну, с учетом защиты основ конституционного строя, нравственности,

прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, что значительно шире, нежели границы информации, отнесхой сенной к государственной собственности.

Закон *06 информации, информатизации и защите информации> дал легальное

определение понятия *информация>. В некоторых отраслях права используются

также расширенные понятия информации, например, понятие служебной и коммерческой тайны. Уголовный кодекс, принятый в 1996 г., вводит в российское

законодательство понятие *компьютерная информация>. Определение *информация> используется в законах *06 акционерных обществах», *0 безопасности>, *0 внешней разведке>, 40 Конституционном суде Российской Федерации>.

Анализируя сущность информационной безопасности, нельзя не упомянуть об

информации как объекте правоотношений. В Гражданском кодексе РФ (ст. 128)

информация определяется как объект гражданских правоотногавнии. Рассматри

iюрмации>

вая информацию с этих позиции, необходимо обратцать внимание на аспект, свя

занный с юридической защитой информации как объекта права собственности.

Такои подход к информации объясняется тем, что историческим и традицион

- ным объектом права собственности является материальныи объект.

доктрина информационной безопасности Российской Федерации представляет

собои совокупность официальных взглядов на цели, задачи, принципы и основрф

ные направления обеспечения ИБ РФ.

доктрина ИБ состоит из четырех разделов и включает в себя 11 глав. В ней рас

тивно-пра- крывают понятия информационной безопасности Российской Федерации, нациояюрые

нальных интересов в информационнои сфере; рассматриваются виды и источ_а

ники угроз информационной безопасности Российской Федерации, состояниеинформационной безопасности РФ и основные задачи по ее обеспечению; общие

методы обеспечения информационной безопасности РФ в различных сферах об-

щественной жизни; международное сотрудничество РФ, основные элементы ор-

ганизационной основы системы обеспечения информационной безопасности РФ.

Информационная безопасность Российской Федерации

1. Национальные интересы Российс,чюй Фдера ции е информационной сфере и

обеспечение

Под информационной безопасностью Российской Федерации понимается со-

стояние защищенности ее национальных интересов в информационной сфере,

определяющихся совокупностью сбалансированных интересов личности, обще-

ства и государства. Интересы личности в информационной сфере заключаются

в реализации конституционных прав человека и гражданина на доступ к инфор

мации, на использование информации в интересах осуществления не запрещен-

ной законом деятельности, физического, духовного и интеллект-уального развития,

а также в защите информации, обеспечивающей личную безопасность. Интересы

общества в информационной сфере заключаются в обеспечении интересов лич-

ности в этой сфере, упрочении демократии, создании правового социального го-

сударства, достижении и поддержании общественного согласия, в духовном об-

новлении России. Интересы государства в информационной сфере заключаются

в создании условий для гармоничного развития российской информационной

инфраструктуры, для реализации конституционных прав и свобод человека и гра-

жданина в области получения информации и пользования ею в целях обеспече-

незыблемости конституционного строя, суверенитета и территориальной

целостности России политической, экономической и социальной стабильности,

в безусловном обеспечении законности и правопорядка, развитии равноправного

и взаимовыгодного международного сотрудничества.

Первая составляющая национальных интересов Российской Федерации в ин-

формационной сфере включает в себя соблюдение конституционных прав и сво-

бод человека и гражданина в области получения информации и пользования ею,

обеспечение духовного обновления России, сохранение и укрепление нравствен-

ных ценностей общества, традиций патриотизма и гуманизма, культурного и на-

учного потенциала страны.

Вторая составляющая национальных интересов Российской Федерации в инфор

мационной сфере включает в себя информационное обеспечение государствен

ной политики Российской Федерации, связанное с доведением до российской

и международной общественности достоверной информации о государственной

политике Российской Федерации, ее официальной позиции по социально значи-

мым событиям российской и международной жизни, с обеспечением доступа

граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов Российской Федерации в инфор-

мационной сфере включает в себя развитие современных информационных тех-

нологий, отечественной индустрии информации, в том числе индустрии средств

информатизации, телекоммуникации и связи, обеспечение потребностей вну-грен-него рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.

Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

2. Виды угроз информационной безопасности Российской Федерации

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

а

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

Ц угрозы информационному обеспечению государственной политики Российской Федерации;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка ее продукцией и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

а угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

З. Источники угроз информационной безопасности Российской Федерации

Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:

а

а

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;

стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

а обострение международной конкуренции за обладание информационными технологиями и ресурсами;

а деятельность международных террористических организаций;

Ц

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

адеятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

Е! разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению

За последние годы в Российской Федерации реализовал комплекс мер по соверiденствованию обеспечения ее информаi.щонной безопасности.

Начато формирование базы правоного обеспечения информационной безопасности. Приняты закон Российской Федерации 40 государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в ин формационной сфере.

Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.

Методы обеспечения информационной безопасности Российской Федерации 5. Общие методы обеспечения информационной безопасности Российской Федерации Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

6. Особенности обеспечения информационной безопасности ции в различных сферах общественной жизни

Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние

Россиискои Фесерана защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности обiцества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.

В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности российской Федерации могут использоваться частные методы и формы обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.

Т Международное сотрудничество Российской Федерации

информационной безопасности

Международное сотрудничество Российской Федерации в области обеспечения информационной

культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Российскую Федерацию.

Особенность международного сотрудничества Российской Федерации в области обеспечения информационной безопасности состоит в том, что оно осуществляется в условиях обострения международной конкуренции за обладалие технологическими и информационными ресурсами, за доминирование на рынках сбыта, в условиях продолжения попыток создания структуры международных огвопiений, основанной на односторонних решениях ключевых проблем мировой политики, противодействия укреплению роли России как одного из влиятельных центров формирующегося многополярного мира, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружио. Все это может привести к новому этапу развертывания гонки вооружений в информационной сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в Россию иностранных разведок, i ле с использованием глобальной информационной инфраструктуры.

Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Оргашiзациоiшая основа системы обеспечения информационной безопасности Российской Федерации

9. Основные функции системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.

Система обеспечения информационной безопасности Российской Федера является частью системы обеспечения национальной безопасности страны.

Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

Основными злементами организационной основы системы обеспечения информационной безопасности Российской Федерации являются: Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации.

22.2. Негативные факторы и основные

угрозы информационной безопасности Российской Федерации

Угрозы информационной безопасности РФ освещены в доктрине ИБ РФ.

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

Е:i угрозы информационному обеспечению государственной политики Российской Федерации;

10. Основные элементы организационной основы системы обеспечения информа ционной безопасности Российской ФедерацииЕ1 угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

1 угрозы безопасности информационных и телекоммуникационньгх средств и систем, как уже развернутых, так и создаваемых на территории России.

Существуют и другие классификации видов угроз информационной безопасности. Если под информационным процессом понимать все действия, так или иначе связанные с преобразованием информации в жизнедеятельности активного субъекта: получение им сигналов из внешнего мира, выделение из них информации, имеющей для него содержательное значение, хранение и обработку накапливаемой информации, принятие на основе новых знаний об окружающем мире решений о своих действиях (то есть воплощение их в действительность), — то именно в результате таких преобразований актуализируются основные качественные характеристики информации, наиболее важными из которых в практическом плане являются ценность, достоверность и своевременность. Однако на каждом из этапов преобразование информации проходит в условиях действия различных факторов, стремящихся нарушить естественное, то есть бесконфликтное течение информационных процессов.

Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Известно большое количество определений угроз информационной безопасности, которые, несмотря на различия в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия или бездействия), направленного на нарушение основных свойств информации — конфиденциальности, целостности, доступности. Остановимся на последнем более подробно. Практически все исследователи, рассматривая виды возможных нарушений основных свойств информации, приводят один и тот же перечень:

1 к угрозам нарушения конфиденциальности информации (копирование) и утечку информации;

к угрозам доступности блокирование информации;

к угрозам целостности — модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.

относят

хищение

Полномасштабный бизнес в электронном пространстве возможен, но для этого

ц

должен быть устранен целый ряд преград, порождающих угрозы информационной безопасности, К ограничениям, сдерживающим реальное развитие сделок через Интернет, можно отнести следующие:

законодательные ограничения обьективного характера, например, узаконенное требование оформления страхового полиса исключительно в бумажном виде или возможность открытия счетов в банке только на основании бу-

мажных оригиналов учредительных и иных документов заявителя (процессизменения действующего законодательства очень растянут во времени, это требует предельной концентрации сил властей в решении этих наиболее важных для современной России вопросов);

отсутствие методологии построения открытых систем электронного бизнеса, в которых равно защищены все участники сделок;

некорректное применение электронной цифровой подписи

точность правового регулирования данного вопроса;

недостаточную регламентацию организационных, технологических и правовых вопросов защиты участников сделок в Интернете;

трудности при идентификации сторон соглашения в виде электронной формы договора и установлении его содержания;

отсутствие системного регулирования сделок как таковых и отсутствие единой государственной политики в сфере электронной экономической деятель-

щ невозможность только саморегулирования киберпространства, аналогии к этой сфере применяется огромное количество действующих нормативных актов;

отсутствие единого и главного кодифицированного нормативного акта в сфере

4сетевых> отношений, позволяющего исключить разбросанность норм права по различным правовым актам;

Е1 отсутствие выработанных фундаментальных принципов защиты прав потребителей, которых могли бы придерживаться все страны (сделка в Интернете, осуществляемая предпринимателями из разных стран, вызывает необходимость заключения международного соглашения о правилах электронных сделок);

Щ адаптацию норм коллизионного права (правил конфликта) в сфере электронной коммерции и многое другое.

Описанные выше примеры показывают, что собственно угрозы информационной безопасности, несмотря на их негативное влияние, на новые информационные процессы, являются диалектическим порождением последних: новые реалии информационного сообщества (прогресс) вызывают к жизни новые угрозы. Несмотря на то что информационный процесс некоторого активного субъекта остается неизменным и в киберпространстве, этому процессу сопутствуют иные (специфические) угрозы, связанные с особенностями существования и передачи информации в новой среде. Таким образом, с точки зрения любой отрасли права (гражданского, административного, уголовного и др.) современные угрозы информационной безопасности не должны быть ограничены известной классификацией, включающей в себя нарушения лишь конфидендиальности, доступности и целостности информации. Новые особенности информационного процесса в современном мире вызывают необходимость обновления содержательного значения термина «угроза информационной безопасности».

Угрозы информационной безопасности в частном секторе можно выявить благодаря анализу тенденций финансирования программ в области ИБ, который

и недоста-показывает, что доля организаций, увеличившкх за последние 4 года свои годовые затраты на обеспечение информационной безопасности до 1 млн долларов, возросла с 8% в 1998 г. до 27% в 2001 г., то есть более чем в З раза. При этом количество организаций, затративвхих на ИБ менее 50 тыс, долларов в год, за этот же период снизилось с 52 до 22%, то есть более чем в 2 раза. Какие же угрозы ИБ побуждают предпринимателей расходовать деньги на их предотвращение?

В результате проведенных в США в период с июля по август 2001 г. исследований на основе выборочного опiiпе-опроса 2500 специалистов в области информационных технологий были получены следующие экспертные оценки характера и степени внешних и внутренних угроз ИБ, которые вызывают повышенную озабоченность у всех категорий персонала, независимо от занимаемого положения, возраста и пола. Среди внешних угроз ИБ за 2 года практически в 2 раза увеличилось количество инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного

проникновения через Интернет е информационные ресурсы. На 10% увеличилось количество случаев нарушения нормальной работы под воз дейстеием программеирусов, на 2% увеличилось количество отказов в обслуживании, связанных практически на треть (до 32%) с переполнением буфера спамом, приходящим в электронной почте. Наибольшую проблему представляют происшествия, связанные с отказом в обслуживании (13о5 —)Зепiаi-оi-Зегуiсе), поскольку в результате их негативного проявления организация, как правило, на длительное время теряет доступ к ресурсам и услугам Интернета. Так, в процессе одного из проведенных в 2001 г. исследований в США в течение трех недель наблюдались и фиксировались результаты и последствия свыше 12 тыс. атак (нападений, вторжений) на 5 тыс. хост-ЭВМ в Интернете, принадлежащих 2 тыс, организаций. Анализ этой статистики выявил, что в 90% случаев продолжительность отказа в обслуживании достигала 1 часа, что представляет серьезную опасность для предприятий так называемого непрерывного цикла работы (транспорт, энергетика, связь, неотложная медицинская помощь и др.).

Анализируя структуру внутренних угроз, эксперты отмечают как наиболее серьезные с точки зрения нарушения системы мероприятий в области ИБ такие не-

гативные проявления человеческого фактора в работе персонала, как самовольная установка и использование нерегламентированного ПО (до 78% внутренних происшествий), увеличение количества случаев использования оборудованам и ресурсов в личньа целях (за 2 года увеличилось на 10%). Одновременно отмечается снижение на 7% количества случаев установки и использования нерегламентиро

еанного оборудования вследствие ужесточения кончролм со стороны админист

рации.

Интересно, что эти же тенденции проявляются и в военной области. Проводившаяся в феврале 2001 г. Службой генерального инспектора США выборочная проверка условий эксплуатации программного обеспечения, установленного на объектах информационной инфраструктуры МО, показала, что даже в Пентагоне, где действуют жесткая дисциплина и порядок, наблюдаются серьезные нарушения правил информационной безопасности. В частности, в нарушение официальныхрегламентирующих документов (1300 Iп8ЁаiсЁiоп 520040, 0013 ОiгесЁiуе 5200.28), устанавливающих *личную ответственность со стороны персонала за каждым закрепленным программным продуктом», далеко не все используемые систем- ные и прикладные приложения имеют своих постоянных владельцев. Кроме того, несмотря на существующий порядок, определяющий сроки эксплуатации приложений после их обязательной сертификации, распространена практика использования так называемых <(летучих голландцев» — не учтенных программ и программ с просроченными сертификатами.

Результаты проверки оказались для руководства Пентагона неутешительными:

из 4939 приложений, учтенных в базе данных Управления информационных систем МО, были идентифицированы как уникальные (не повторяющиеся по названию) 1365, из которых только 36,7% полностью удовлетворяли требованиям ИБ (имели сертификаты и ответственных за эксплуатацию), 40% частично удовлетворяли этим требованиям, а 23,3% не удовлетворяли полностью. По мнению экспертов, наличие такого большого количества (288) программных продуктов, не имеющих необходимых сертификатов и ответственных за их эксплуатацию сотрудников, несет в себе потенциальную угрозу для безопасности не только военной, но и национальной инфраструктуры в целом.

Контрольные вопросы

1. Что такое информация? Какое значение играет информация в современной жизни человека?

2. Перечислите основные законодательные и нормативно-правовые документы, освещающие вопросы информационной безопасности и защиты информации.

3. Какие основные виды угроз информационной безопасности перечислены в доктрине ИБ РФ? Перечислите основные угрозы ИБ каждого из видов.