double arrow

Нормативно правовые меры

3

Классификация мер обеспечения безопасности КС.

Среди мер обеспечения информационной безопасности КС ,обычно, выделяют следующее :

1. Нормативно-правовые(законодательные)

2. морально-этические

3. административные

4. Физические

5. Программно-аппаратные

К нормативно правовым мерам защиты относят действующие в стране законы , указы и другие нормативные акты, регламентирующие правила обращения с информацией , закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования , а так же устанавливающие ответственность за нарушение этих правил, препятствуя тем самым неправомерному использования информации и являющееся сдерживающим фактором для потенциальных нарушителей. Нормативно правовые меры направлены на решение следующих вопросов:

1. Отнесение информации к категории открытого и ограниченного доступа.

2. Определение полномочий по доступу к информации

3. Права должностных лиц на установление и изменение полномочий

4. Способы и процедуры доступа

5. Порядок контроля , документирования и анализа действий персонала

6. Ответственность за нарушение установленных требований и правил.

7. Проблема доказательства вины нарушителя

8. Соответствующие карательные санкции.

На созданную в 1992 году гостехкомиссия по защите информации были возложены обязанности по координации , организационно методическому руководству , разработки и финансированию научно – технических программ , лицензированию деятельности предприятий и сертификации продукции.

В настоящее время защита секретной информации в автоматизированных системах осуществляется федеральной службой по техническому и экспортному контролю (ФСТЭК) , созданной по указу президента РФ от 9 марта 2004 года за №314 «О системе и структуре федеральных органов исполнительной власти». Состав государственной системы защиты информации входят системы лицензирования деятельности предприятий по оказанию услуг в области ЗИ и сертификация продукции по требованиям безопасности информации.

Система лицензирования направлена на создание условий ,при которых право заниматься работами по защите информации предоставляется только организациям имеющим соответствующее разрешение или лицензию на этот вид деятельности, а система сертификации технических и программных средств по требованиям безопасности информации направлена на защиту потребителя продукции и услуг от недобросовестной работы исполнителя, к сожалению в этих вопросах Россия значительно отстала от развитых зарубежных стран.

Важным организационным документом системы защиты информации(СЗИ) является : «Положение по организации, разработки, изготовления и эксплуатации программных и технических средств ЗИ от НСД в АС и СВТ(средство вычислительной техники)». Этим документом единый в стране порядок исследований разработок , введения в действия и эксплуатации защищенных от НСД средств автоматизации. Исходя из практических потребностей, в положении определенны различные варианты разработки защищенных СВТ ,среди которых просматриваются:

1. Разработка защищенного обще программного обеспечения(ОПО) – операционные системы( ОС ) , СУДБ , сетевого ПО

2. Разработка защищенных программных средств(ПС) на базе ОПО, находящегося в эксплуатации и поставляемого вместе с незащищенными СВТ.

3. Разработка защищенных ПС на базе импортных программных прототипов.

В положении изложен так же : порядок разработки , внедрения и эксплуатации средств крипто защиты информации. Кроме перечисленных правовых и нормативных подзаконных актов государственной СЗИ для нормальной деятельности в области безопасности информации необходим пакет нормативных документов технического характера – стандартов , руководящих документов , инструкций.

В США с 1984 года сертификация СВТ по требованиям ЗИ от НСД осуществляется в соответствии с «Оранжевой книгой» - гос. стандарта «Критерии оценки надежных КС» TCSEC.

В Европе в 1991 году принят собственный стандарт « Критерий оценки безопасности ИС – гармонизированные критерии Франции , Германии ,Голландии и Великобритании» построенный на аналогичных TCSEC принципах.

Отечественны аналогом «Оранжевой книги» является разработанный в 1992 году руководящий документ «СВТ. Защита от НСД информации. Показатели защищенности от НСД к информации». Этот документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований. Он может использоваться как методический материал при разработке СЗИ или как нормативно – методический материал при их сертификации.

В настоящее время в законодательной сфере РФ создана правовая основа для регулирования сбора, хранения и обработки информации. В УК РФ включена отдельная глава посвящённая компьютерным преступлениям. Защита интеллектуальной собственности отражена в уголовном и гражданском кодексах.

С начала 90-х годов действует закон РФ «О правовой охране программ для ЭВМ и БД» ФЗ «Об информации , информатизации и ЗИ» , закон РФ «Об авторском праве и смежных правах» и ряд других нормативных актах . Важнейшие законодательные нормативно правовые документы разработаны с учетом следующих видов тайн :

1. Государственная тайна – Закон о гос. тайне ст. 275 , 276 , 283 , 284 УК РФ,

2. служебная и коммерческая тайна ст. 139 и 727 ГК РФ , ст.155 и 183 УК РФ ,

3. банковская тайна ст. 25 закона о банках и банковской деятельности в РСФСР ст.827 ГК и ст.183 УК РФ,

4. личная и семейная тайна – ст.150 ГК и ст.137 УК РФ,

5. тайна переписки и телефонных переговоров ст.138 УК РФ,

6. тайна голосования ст.142 УК РФ

Перечисленные руководящие документы не исчерпывают потребностей возникающих в ходе практических работ в области ЗИ. Это лишь необходимая основа организационной , нормативно – технической и методической документации бес которой невозможно нормальное существование и развитие информатики и обеспечение безопасности информационных ресурсов самих СВТ.

3

Сейчас читают про: