2015-06-24
7319
Организационно-правовое обеспечение информационной безопасности представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать основные функции:
2) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;
3) определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области;
4) создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;
5) определение мер ответственности за нарушение правил защиты;
6) определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
|
|
|
Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:
- все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации;
- узакониваются меры ответственности за нарушения правил защиты информации;
- узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;
- узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
Разработка законодательной базы информационной безопасности любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития этого государства. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы;
- информация открытая - на распространение и использование которой не имеется никаких ограничений;
- информация запатентованная - охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
- информация, "защищаемая" ее собственником, владельцем с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны.
|
|
|
Концепция базируется на комплексной реализации следующих мер:
- организационно-технические меры;
- меры, направленные на детальную регламентацию деятельности персонала;
- меры правового характера, направленные на предупреждение несанкционированных действий с информацией;
- меры по созданию условий страхования информационных рисков.
Реализация организационно-технических мер позволит сформировать политику информационной безопасности и создать структуру службы информационной безопасности, адаптированные к потребностям каждого конкретного банка. Также указанные меры позволяют реализовывать легитимные технические решения. В основу выработки легитимных решений предлагается использовать разработку реестра рекомендованных аппаратно-программных средств защиты информации, методических рекомендаций по выбору и построению системы защиты информации.
Меры, направленные на детальную регламентацию деятельности персонала, основаны на алгоритмах деятельности персонала по безопасному обращению с информацией.
Меры правового характера, направленные на предупреждение несанкционированных действий с информацией, позволяют выстроить систему непрерывного внутреннего мониторинга системы информационной безопасности банка.
Меры по созданию условий страхования информационных рисков основываются на выборе унифицированных решений, направленных на минимизацию рисков.
Вместе с тем уже существует понимание и того, что необходим и пятый элемент концепции --- набор взаимоувязанных профилей защиты информации.
Разработанный подход позволяет определить пути урегулирования вопросов безопасности с учетом как интересов коммерческих банков, так и регулирующих органов.
Для банков этот подход может быть интересен еще и тем, что он позволяет усовершенствовать уже существующие у них системы информационной безопасности без их коренной ломки, а также минимизировать затраты по модернизации.
Однако практическая реализация изложенного подхода затруднена отсутствием четко и однозначно сформулированной позиции банковского сообщества по проблемам информационной безопасности.
В таких условиях не представляется возможным говорить об учете интересов банков со стороны государственной системы обеспечения информационной безопасности.
Под лицензированием в области защиты информации понимают деятель-ность, заключающуюся в передаче или получении прав на проведение работ в области защиты информации. Оформленное соответствующим образом раз-решение на право проведения тех или иных работ в области защиты информа-ции называется ЛИЦЕНЗИЕЙ в области защиты информации, а сторона, по-лучившая право на проведение работ в области защиты информации, имену-ется ЛИЦЕНЗИАТОМ.
Система государственного лицензирования направлена на создание усло-вий, при которых право заниматься работами по защите информации предо-ставляется только организациям, имеющим на этот вид деятельности соответ-ствующее разрешение (лицензию).
Порядок и правила лицензирования деятельности предприятий и организа-ций и сертификации продукции в области защиты информации в значительной степени зависят от того, о какой информации идет речь: об информации, отне-сенной к государственной тайне, или о любой другой конфиденциальной ин-формации.
Поэтому, в частности, в настоящее время созданы и действуют несколько систем лицензирования.
Во-первых, существует лицензирование деятельности предприятий с ис-пользованием сведений, составляющих государственную тайну. Правовой ос-новой лицензионной деятельности служит Закон РФ <О государственной тай-не>, в котором сказано, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих го-сударственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий на проведение этих работ. Развитием положений данного За-кона является Постановление Правительства РФ №333 от 15 апреля 1995 года <О лицензировании деятельности предприятий и организаций по прове-дению работ, связанных с использованием сведений, составляющих государ-ственную тайну, созданием средств защиты информации, а также с осуще-ствлением мероприятий и (или) оказанием услуг по защите государствен-ной тайны>, которое и определяет пределы компетенции органов, уполномоченных на ведение лицензионной деятельности. В соответствии с ним лицензии на право проведения работ, связанных с использованием све-дений, составляющих государственную тайну, выдаются ФСБ России и ее территориальными органами - на территории России, службой внешней разведки (СВР) России - за рубежом.
|
|
|
Во-вторых, из вышесказанных документов следует, что лицензии пред-приятиям на право осуществления мероприятий и оказания услуг в области защиты государственной тайны выдают ФСБ России и ее территориальные органы, ФАПСИ, Гостехкомиссия России, СВР России в пределах их компе-тенции.
В-третьих, лицензирование деятельности в области защиты информации и работ, связанных с созданием средств защиты информации, осуществляют Гостехкомиссия России и ФАПСИ в пределах их компетенции. Правовой ос-новой этой лицензионной деятельности служат Указ Президента РФ №9 <О создании Государственной технической комиссии при Президенте РФ> и За-кон РФ 1993 года <О федеральных органах правительственной связи и ин-формации>. Указ №9 и последовавшее за ним Распоряжение Президента №829, утверждающее Положение о Гостехкомиссии России, определили, что работы по защите информации от утечки по техническим каналам могут осу-ществляться только на основе лицензии, и разрешили Гостехкомиссии выда-вать предприятиям и организациям такие лицензии в пределах ее компетен-ции. Там же указано, что обеспечение государственного лицензирования по вопросам защиты информации возложено на центральный аппарат Гостех-комиссии России. В то же время Закон <О федеральных органах правитель-ственной связи и информации> требует лицензирования производства и экс-плуатации шифровальных средств, предоставления услуг в этой области и возлагает на органы ФАПСИ ответственность за ведение лицензионной дея-тельности в пределах их компетенции. Поэтому в 1994 году совместным решением Гостехкомиссии и ФАПСИ №10 введено в действие <Положение о государственном лицензировании деятельности в области защиты инфор-мации> [I], которое определяет границы компетенции этих органов в вопро-сах выдачи лицензий на определенные виды деятельности и собственно по-рядок их получения.
|
|
|
Сертификация средств защиты информации по требованиям безопасности информации - это комплекс организационно-техничес-ких мероприятий, в результате которых посредством специального документа и знака соответствия с определенной степенью достоверности подтверждается, что средства защиты информации соответствуют требованиям нормативных документов по безопасности информации и государственных стандартов.
Обязательной сертификации подлежат средства защиты информации, т.е. технические, криптографические, программные и другие средства, предназна-ченные для защиты сведений, содержащих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защи-ты информации.
Правовой основой сертификации продукции и услуг в области защиты ин-формации являются три Закона РФ. Законом РФ <О защите прав потребителей> в России введена обязательная сертификация товаров (работ, услуг), на которые установлены требования по обеспечению безопасности жизни, здоровья потребителей и охраны окружаю-щей среды, предотвращению вреда имуществу потребителей.
Одновременно с этим Законом введена в действие разработанная на основе международного опыта система сертификации ГОСТ-Р, которая опирается на Закон РФ <О сертификации продукции и услуг> и устанавливает порядок ра-бот по обязательной сертификации, а также права, обязанности и ответствен-ность участников процессов сертификации.
Необходимость сертификации средств защиты, применяемых при обработ-ке информации, составляющей государственную тайну, закреплена в Законе РФ <О государственной тайне>.
Основным нормативно-правовым документом по сертификации продукции и услуг в области защиты информации является Постановление Правитель-ства РФ от 26 июня 1995 года №608 <О сертификации средств защиты инфор-мации>. В нем сказано, что все средства защиты информации подлежат обязательной сертификации в рамках конкретных систем сертификации (Гос-техкомиссией, ФАПСИ, ФСБ, Минобороны) в пределах компетенции, опре-деленной для них законодательными актами. Координацию работ по организа-ции сертификации средств защиты информации осуществляет Межведомствен-ная комиссия по защите государственной тайны, председателем которой является первый вице-премьер Правительства, а заместителями - директор ФАПСИ и председатель Гостехкомиссии.
В настоящее время сертификация программных и технических средств за-щиты информации, не использующих методы криптографии и шифрования, проводится в рамках <Системы сертификации средств защиты информации по требованиям безопасности информации> испытательными лабораториями и органами по сертификации, аккредитованными Гостехкомиссией России. Эта система представляет собой комплект всех необходимых для сертификации документов, разработанных Гостехкомиссией и зарегистрированных Госстан-дартом России в 1995 году за № РОСС 1Ш.0001.01БИОО.
Сертификация программных и технических средств защиты информации, использующих методы криптографии, проводится органами ФАПСИ в рам-ках <Системы сертификации средств криптографической защиты информации>, разработанной ФАПСИ и зарегистрированной Госстандартом России в 1993 году под № РОСС КО 0001.03001.
