Правовые средства обеспечения информационной безопасности

РКЛ по дисциплине «Информационная безопасность»

Раздел 2. Организация и технология обеспечения информационной безопасности

Часть 3

Дополнительные сведения о методах и средствах обеспечения информационной безопасности

Правовые средства обеспечения информационной безопасности

В настоящее время можно выделить четыре уровня правового обеспечения ИБ.

Первый уровень образуют федеральные законы России и международные договоры, к которым присоединилась Российская Федерация:

— Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений, а ст. 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом);

— Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне, часть четвертая посвящена интеллектуальным правам, включая авторские и патентные права);

— Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 – за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 – за нарушение правил эксплуатации ЭВМ, систем и сетей);

— закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;

— закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне»;

— Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов»;

— Федеральный закон от 07 июля 2003 г. № 126-ФЗ «О связи»;

— Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»;

— Федеральный закон от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»;

— Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;

— Федерального закона от 4 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности»;

— Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;

— международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

— другие законодательные акты и международные договоры.

Второй уровень правового обеспечения ИБ составляют подзаконные акты, к которым относятся указы Президента РФ и постановления / распоряжения Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться указы Президента РФ:

— от 23 апреля 1993 г. № 477 «Концепция правовой информатизации России»;

— от 31 декабря 1993 г. № 2334 «О дополнительных гарантиях прав граждан на информацию»;

— от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации»;

— от 30 марта 1994 г. № 614 «Вопросы защиты государственной тайны»;

— от 21 апреля 1994 г. № 361 «О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации»;

— от 30 ноября 1995 г. №1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;

— от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

— от 22.05.2015 г. № 260 «О некоторых вопросах информационной безопасности Российской Федерации»:

— от 31.12.2015 г. № 683 «О Стратегии национальной безопасности Российской Федерации»;

— от 5.12.2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;

— от 13 мая 2017 г. № 208 «О Стратегии экономической безопасности Российской Федерации на период до 2030 года» и др.

Среди постановлений Правительства РФ можно выделить следующие:

— от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну»;

— от 3.11.1994 г. № 1233 «Об утверждении «Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»;

— от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;

— от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

— от 18 мая 2009 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;

— от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»;

— от 9 февраля 2012 г. № 111 «Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи»;

— от 25 июня 2012 г. № 634 «О видах электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг»;

— от 25 августа 2012 г. № 852 «Об утверждении Правил использования усиленной квалифицированной электронной подписи при обращении за получением государственных и муниципальных услуг и о внесении изменения в Правила разработки и утверждения административных регламентов предоставления государственных услуг»;

—  от 25 января 2013 г. № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг»;

—  от 10 июля 2013 г. № 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;

— от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» и др.

Третий уровень правового обеспечения ИБ составляют государственные стандарты (ГОСТы), руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. К документам третьего уровня можно отнести также международные стандарты, на основе которых разработана значительная часть отечественных стандартов, или которые используются де-факто.

За 25 лет своего существования Государственная техническая комиссия при Президенте РФ, преобразованная позднее в  Федеральную службу по техническому и экспортному контролю – ФСТЭК, разработала десятки документов, среди которых:

— руководящий документ «Средства вычислительной техники. Защита от НСД к информации» (1992 г.);

— руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (1992 г.);

— руководящий документ «Защита от НСД к информации. Термины и определения» (1992 г.);

— руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (1994 г.);

— руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (1997 г.);

— руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (1997 г.);

— руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (1999 г.);

— руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (2001 г.);

— Приказ ФСТЭК России от 11.02.2013 г. № 17 (ред. от 15.02.2017 г.) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 № 28608);

— Приказ ФСТЭК России от 18.02.2013 г. № 21 (ред. от 23.03.2017 г.) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 г. № 28375) и др.;

Некоторые из этих документов доведены до уровня национальных стандартов.

Среди документов, разработанных и принятых ФСБ России можно назвать следующие документы, регулирующие применение электронной подписи;

- приказ ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»;

- приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра».

Уполномоченным органом в области применения электронной подписи в РФ является Министерство связи и массовых коммуникаций, которым к настоящему времени утверждены следующие приказы:

- от 29 сентября 2011 г. № 242 «Об утверждении Порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра»;

- от 5 октября 2011 г. № 250 «Об утверждении Порядкаформирования и ведения реестров квалифицированныхсертификатов ключей проверки электронной подписи,а также предоставления информации из таких реестров».

- от 30 ноября 2015 г. № 486 «Об утверждении административных регламентов предоставления Министерством связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации удостоверяющих центров и исполнения Министерством связи и массовых коммуникаций Российской Федерации государственной функции по осуществлению государственного контроля и надзора за соблюдением аккредитованными удостоверяющими центрами требований, которые установлены Федеральным законом «Об электронной подписи» и на соответствие которым эти удостоверяющие центры были аккредитованы».

Что касается стандартизации, то она, как известно,  должна начинатбся с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Такая ситуация характерна как для международных стандартов, так и для стандартов отечественных. Применяемые стандарты относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты информации.

Рассмотрим основные семейства стандартов в области информационной безопасности.

1) К настоящему времени Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC) разработаны международные стандарты на системы управления информационной безопасностью серии 27000. Эта семейство включает в себя международные стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ)[1], управлению рисками, метрикам и измерениям, а также руководство по внедрению. Значительной части этих стандартов соответствуют отечественные аналоги.

Рассматриваемые стандарты целесообразно разделить на 4 группы:

•     Стандарты для обзора и введения в терминологию;

•     Стандарты, определяющие обязательные требования к СУИБ (системе управления информационной безопасностью);

•     Стандарты, определяющие требования и рекомендации для аудита СУИБ;

•     Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Стандарты для обзора и введения в терминологию. К данной группе можно отнести первый стандарт семейства: ISO/IEC 27000: 2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary – Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью Определения и основные принципы. Этот стандарт описывает основные определения, которые используются в стандартах информационной безопасности.

Стандарты, определяющие обязательные требования к СУИБ. Данная группа включает в себя всего лишь один стандарт: ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements – Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Суть этого стандарта заключается в описании информационных технологий, методов и средств обеспечения безопасности, менеджмента информационной безопасности и определении требований. ISO/IEC 27001 определяет требования к разработке, внедрению и улучшению менеджмента информационной безопасности и является основным стандартом семейства.

Российский аналог этого стандарта – ГОСТ Р ИСО/МЭК 27001-2006 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования».

Важная особенность стандарта заключается в том, что на соответствие этому стандарту организация может быть сертифицирована аккредитованными ISO и IEC агентствами. Процесс сертификации состоит из трех стадий:

стадия 1 – изучение аудитором ключевых документов системы менеджмента информационной безопасности – положение о применимости (SoA), план обработки рисков (RTP) и т.д. Может выполняться как на территории организации, так и путём высылки этих документов внешнему аудитору;

стадия 2 – детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;

стадия 3 – выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

На соответствие российскому аналогу этого стандарта организация может быть сертифицирована агентствами, аккредитованными Росстандартом.

Стандарты, определяющие требования и рекомендации для аудита СУИБ. В отличие от предшествующих групп, в данную группу можно включить три стандарта:

- ISO/IEC 27006:2011 Requirements for bodies providing audit and certification of information security management systems – Требования к органам аудита и сертификации систем менеджмента информационной безопасностью;

- ISO/IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Руководство для аудита СМИБ;

- ISO/IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Руководство по аудиту механизмов контроля СМИБ.

Эти стандарты включают в себя указания и требования для аудита информационной безопасности. Стандарт ISO/IEC 27006 включает в себя описание информационных технологий, средств обеспечения информационной безопасности и требования для организаций, которые выполняют аудит систем менеджмента информационной безопасности, и для сертифицирующих организаций. ISO 27007/IEC детализируют два первых пункта ISO 27006/IEC, а также содержат указания по проведению аудита систем менеджмента информационной безопасности. ISO 27008/IEC включает в себя руководство по аудиту механизмов контроля СМИБ.

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ, в том числе в некоторых специализированных сферах. Эта группа включает в себя оставшиеся стандарты семейства 27000, а именно стандарты:

•     ISO/IEC 27002:2005 Information technology. Security techniques. Code of practice for information security management – Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью;

•     ISO/IEC 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance – Руководство по внедрению системы управления информационной безопасностью;

•     ISO/IEC 27004:2010 Information technology. Security techniques. Information security management. Measurement – Измерение эффективности системы управления информационной безопасностью;

•     ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management – Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности;

•     ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 – Руководство по управлению информационной безопасностью для телекоммуникаций на основе ISO/IEC 27002;

•     ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 – Руководство по управлению информационной безопасностью для телекоммуникаций на основе ISO/IEC 27002;

•     ISO/IEC 27031 Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity – Информационные технологии. Методы обеспечения защиты. Руководящие указания по готовности информационно-коммуникационных технологий для ведения бизнеса;

•     ISO/IEC 27033-1:2009 Information technology - Security techniques - Network security - Part 1: Overview and concepts – Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции;

•     ISO/IEC 27033-2:2012 Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security – Информационные технологии. Методы и средства обеспечения защиты. Защита сети. Часть 2. Руководящие указания по проектированию и внедрению защиты сети;

•     другие стандарты по обеспечению безопасности информационных сетей: ISO/IEC 27033-3 – ISO/IEC 27033-7;

•     ISO/IEC 27034:2011 Information technology - Security techniques - Application security overview and concepts – Информационные технологии - Методы обеспечения безопасности - Обзор и основные концепции в области обеспечения безопасности приложений;

•     ISO/IEC 27035:2011 Information technology - Security techniques - Security incident management Информационные технологии – Методы обеспечения безопасности - Управление инцидентами безопасности;

•     ISO/IEC 27036-1:2014 Information technology - Security techniques - Guidelines for security of outsourcing - Part 1: Overview and concepts – Информационные технологии - Методы обеспечения безопасности - Информационная безопасность при взаимодействии с поставщиками - Часть 1: Обзор и концепции;

•     ISO/IEC 27036-2:2014 Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements – Информационные технологии - Методы обеспечения безопасности - Руководство по взаимодействию с поставщиками - Часть 2: Требования;

•     ISO/IEC 27036-3:2013 Information technology - Security techniques - Guidelines for security of outsourcing – Информационные технологии - Методы обеспечения безопасности - Информационная безопасность при взаимодействии с поставщиками - Часть 3: Руководящие указания по защите цепей поставки информационных и коммуникационных технологий;

•     ISO/IEC 27037:2012 Information technology - Security techniques - Guidelines for identification, collection and/or acquisition and preservation of digital evidence – Информационные технологии - Методы обеспечения безопасности - Руководство по идентификации, сбору и/или получению и обеспечению сохранности цифровых свидетельств;

•     ISO/IEC 27799 Information security management in health using ISO/IEC 27002 – Руководство по управлению информационной безопасностью для организаций здравоохранения на основе ISO/IEC 27002;

•     ISO/IEC TR 24762: 2008 Information technology – Security techniques –  Guidelines for information and communications technology disaster recovery services – Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий (российский аналог – ИСО/МЭК ТО 24762:2008).

Стандарт ISO/IEC 27002:2005, имеющий большое значение для обеспечения информационной безопасности, представляет собой совокупность практических правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта, и описывает:

· требования к политике информационной безопасности;

· организационные меры безопасности;

· классификацию и контроль информационных ресурсов;

· кадровые аспекты информационной безопасности;

· физическую защиту информационных ресурсов;

· управление технологическим процессом;

· управление доступом;

· требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;

· менеджмент инцидентов в системе защиты информации;

· правила обеспечения непрерывности работы и восстановления;

· требования к соответствию систем информационной безопасности нормативным и руководящим документам.

Следует отметить, что ISO/IEC 27002:2005 не является техническим стандартом и не зависит от конкретного средства защиты или технологии. Он описывает концептуальные основы управления информационной безопасностью. Российский аналог – ГОСТ Р ИСО/МЭК 27002:2006 «Информационная технология. Практические правила управления информационной безопасностью».

К настоящему времени в области управления информационной безопасностью опубликованы более 30 стандартов, в различных стадиях подготовки находятся более 15 новых стандартов.

2) Следующее семейство из 9 довольно разнородных стандартов в области ИБ можно условно назвать стандартами технологической направленности:

- ГОСТ 29.339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН[2] при ее обработке средствами вычислительной техники. Общие технические требования»;

- ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

- ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»;

- ГОСТ Р 50752-95 «Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методика испытаний»;

- ГОСТ РВ 50170-92 «Противодействие иностранной технической разведке. Термины и определения»;

- ГОСТ Р 50600-93 «Защита секретной информации от технических разведок. Система документов. Общие положения»;

- ГОСТ Р ИСО/МЭК 15408-2012 – «Общие критерии оценки безопасности информационных технологий»;

- ГОСТ Р ИСО/МЭК 15408-1-2012 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;

- ГОСТ Р ИСО/МЭК 15408-2-2013 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;

- ГОСТ Р ИСО/МЭК 15408-3-2013 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

3) Среди стандартов, определяющих в РФ криптографическую защиту информации, можно выделить следующие:

— ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

— ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;

— ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»

— ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры».

Укажем также два международных стандарта де-факто в данной области, принятых в той или иной степени во внимание, при разработке отечественных стандартов:

- DES (Data Encryption Standard) ‒ алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году как официальный стандарт (FIPS 46-3);

- RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) ‒ криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложностизадачи факторизации больших целых чисел.

Далее можно назвать следующие группы стандартов:

4) Стандарты на системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, – 12 ГОСТов;

5) Стандарты на информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) – около 200 ГОСТов;

6) Стандарты на системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) – больше 100 ГОСТов.

Четвертый уровень правового обеспечения ЗИ образуют локальные нормативные акты, положения инструкции, методические рекомендации и другие документы по комплексной защите информации в информационных системах конкретной организации. К таким нормативным документам относятся:

— устав предприятия, закрепляющий условия обеспечения деятельности и защиты информации;

— приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

— трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия;

— должностные обязанности руководителей, специалистов, обслуживающего персонала ИС;

— утвержденная руководством предприятия политика информационной безопасности и др.