- •Утверждаю
- •Введение
- •1. Понятие и назначение доктрины информационной безопасности
- •2. Виды и состав угроз информационной безопасности
- •3. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •4. Принципы обеспечения информационной безопасности
- •5. Общие методы обеспечения информационной безопасности
- •6. Особенности обеспечения информационной безопасности в различных сферах общественной жизни
- •7. Основные положения государственной политики обеспечения информационной безопасности, мероприятия по их реализации
- •Организационная основа системы обеспечения информационной безопасности
- •Заключение
- •Обязательные источники
- •Основная литература
- •Дополнительная литература
3. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации "О государственной тайне", Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.
Как отмечается в Доктрине, анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Это обусловлено следующими объективными причинами.
Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.
Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере.
Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации.
Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).
4. Принципы обеспечения информационной безопасности
Принципы обеспечения информационной безопасности непосредственно следуют из принципов защиты информации, принципов государственной информационной политики и принципов обеспечения национальной безопасности.
Эти принципы выработаны длительной практикой деятельности режимных организаций и подразделений в нашей стране, в них также учитывается зарубежный опыт защиты государственных и иных секретов. Большинство действующих нормативных документов, в которых заложены эти принципы, регламентируют вопросы защиты государственных секретов, однако в силу универсальности таких принципов они могут и должны использоваться при организации защиты коммерческой, профессиональной, личной и иных видов тайны. Принципы защиты информации можно разделить на: правовые и организационные.
Правовые принципы защиты информации гарантируют соблюдение законности при засекречивании информации и обеспечении ее защиты от неправомерного получения и использования.
Принцип законности защиты информации заключается в необходимости нормативно-правового регулирования этой важной области общественных отношений в государстве. В законодательных и подзаконных нормативных актах должны быть четко и однозначно определены права и обязанности субъектов защиты информации, детально изложены критерии отнесения сведений к государственной, коммерческой и иным видам охраняемой законом тайны, подробно регламентирован порядок засекречивания информации и правил ее защиты, а также установлена уголовная, административная, материальная и иная ответственность за незаконное покушение на защищаемую информацию.
Принцип приоритета международного права над внутригосударственным предусматривает, что объектом засекречивания не могут быть сведения, которые подлежат открытому использованию в соответствии с международными соглашениями. Наша страна приняла на себя обязательство привести свое внутреннее законодательство в соответствие с положениями конвенций и соглашений Европейского союза, Международного валютного фонда и других международных экономических организаций, участником которых она является. Одним из условий членства в этих организациях является предоставление информации о реальном положении дел в национальной экономике.
Принцип равноправия на засекречивание информации означает право суверенного государства наравне с другими странами защищать и засекречивать сведения из тех областей, которые обеспечивают его национальную безопасность. Каждое государство имеет право само решать, что оно будет засекречивать, а что открывать. При этом взаимность и равноправие между государствами или их коалициями на защиту национальных секретов будут способствовать развитию доверия в международных отношениях, помогать устранению асимметрии режимных ограничений, сложившихся в разных странах. Излишняя закрытость государства всегда вызывает настороженность других стран, так как такие действия обычно связывают с недобрыми намерениями.
Принцип собственности на информацию определяет право собственников (владельцев) информации принимать меры к ее защите. Для этого могут использоваться нормы авторского и патентного права, механизмы защиты интеллектуальной собственности, коммерческой или банковской тайны и др. Только собственник информации имеет право определять, какие сведения следует засекретить, какой гриф (степень) секретности им присвоить, кого к ним допускать, какие материальные средства расходовать на их защиту, какие методы и средства использовать для обеспечения защиты принадлежащей ему информации. В связи с этим в российском законодательстве приняты правовые акты, регламентирующие имущественные отношения в области интеллектуальной собственности, информационных ресурсов, коммерческой тайны, а также регулирующие права собственников на владение, распоряжение и защиту информации.
Принцип экономической целесообразности защиты информации заключается в том, что затраты на защиту сведений должны быть экономически оправданны. Секретность должна оцениваться как потребительское свойство и ее стоимость должна включаться в цену производимого продукта. Прибыль от использования секретной информации должна окупать затраты на осуществление режимных мероприятий по ее защите. Секретность является также и экономической категорией, поэтому ее соблюдение в условиях рыночной экономики является делом владельцев секретов, которые должны сами устанавливать степень и время действия секретности сведений с учетом потенциальной выгоды при ее использовании или возможных убытков при ее утечке. В области защиты государственной тайны действуют и другие (политические, военные и т.д.) факторы при решении проблем защиты информации.
Организационные принципы защиты информации отражают общие правила и подходы к защите секретов, поэтому они за последние годы претерпели значительно меньше изменений по сравнению с правовыми принципами. Они используются при любой общественно-политической и экономической системе, являясь одинаково эффективными при защите государственной, коммерческой, банковской, профессиональной или иной тайны.
Принцип системного подхода к организации защиты информации предполагает, с одной стороны, выявление возможных каналов утечки защищаемой информации, а с другой – изучение возможностей противника (конкурента) по добыванию защищаемой информации. Такой анализ осуществляется с учетом условий деятельности определенного предприятия, учреждения, отрасли или в отношении конкретной проблемы. Системный подход позволяет создать органически взаимосвязанную совокупность сил, средств и специальных методов для оптимального ограничения сферы обращения защищаемой информации и предотвращения несанкционированного доступа к ней. При создании системы защиты информации осуществляется комплекс защитных мер, направленных на предупреждение утраты и утечки информации.
Принцип максимального ограничения числа лиц, допускаемых к защищаемой информации, широко применяется во всех сферах деятельности государственных и коммерческих структур при осуществлении защиты информации. Основной смысл этой меры сводится к тому, что сохранность засекреченной информации находится в прямой зависимости от количества лиц, допущенных к обращению с нею. Чем уже этот круг, тем выше вероятность сохранения в тайне данной информации. Организационно эта защитная мера реализуется следующим образом: к секретным работам и документам допускаются только те лица, которые имеют разрешение (допуск) на ознакомление со сведениями с соответствующей степенью секретности и право доступа к конкретной информации, с которой они непосредственно связаны по работе.
Принцип персональной ответственности за сохранность доверенных секретов эффективен в том случае, когда каждый сотрудник, допущенный к защищаемой информации, осознает личную заинтересованность в сохранении в тайне доверенной ему информации. Если же работник видит, что сохранение какой-то информации в тайне нужно лишь предприятию или государству, а ему лично ничего не дает, то он будет относиться к защите информации формально, выполняя соответствующие требования только лишь из боязни ответственности. При этом эффективным способом повышения ответственности сотрудников за сохранение доверенных им секретов является обучение их правилам защиты информации и обращения с конфиденциальными документами.
Принцип непрерывности защиты информации означает, что защитные мероприятия должны осуществляться непрерывно с момента появления этой информации, на всех этапах ее обработки, передачи, использования и хранения, вплоть до этапа ее уничтожения или рассекречивания. При этом должностные лица, имеющие отношение к работе с защищаемой информацией, при решении производственных, финансовых, маркетинговых и иных задач не должны упускать из виду и связанные с ними режимные вопросы.
Рассмотренные выше организационные и правовые принципы защиты информации имеют достаточно общий и универсальный характер, поэтому они в равной степени используются в различных областях деятельности. Однако при осуществлении защиты различных видов информации и информационных процессов используются и специфические принципы, обусловленные особенностями предмета защиты, а также применяемых в защитных целях сил, средств и методов.
Например, принципы защиты информации от технических средств разведки учитывают возможности современных средств и методов несанкционированного добывания информации, особенности объекта защиты (различных видов каналов связи и носителей информации), а также цели деятельности вероятного противника, покушающегося на защищаемую информацию.
Поскольку информационная безопасность должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, общим и для национальной безопасности, и для информационной политики.
Так, в Концепции национальной безопасности раскрыто содержание ряда принципов обеспечения национальной безопасности, закрепленных в Законе "О безопасности":
принцип законности предусматривает соблюдение Конституции Российской Федерации, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности;
принцип соблюдения баланса жизненно важных интересов личности, общества и государства заключается в обеспечении единства, взаимосвязи и сбалансированности всех видов безопасности, гибком изменении их приоритетности в зависимости от ситуации;
принцип уважения прав и свобод человека не допускает ограничения прав и свобод граждан, за исключением случаев, прямо предусмотренных законом.
Ряд принципов не нашел отражения в Концепции, хотя закреплен в Законе (взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности).
Добавлены новые принципы обеспечения безопасности (приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления).
Исходя из рассмотренных выше принципов защиты информации, государственной информационной политики, национальной безопасности, можно выделить следующие принципы обеспечения информационной безопасности:
законность (соблюдение норм международного права, Конституции Российской Федерации и законодательства Российской Федерации при осуществлении деятельности по обеспечению информационной безопасности);
сбалансированность (соблюдение баланса интересов субъектов, их взаимная ответственность);
системность;
открытость;
реальность выдвигаемых задач (с учетом имеющихся ресурсов, сил и средств);
демократический централизм (сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления);
интеграция (взаимодействие с международными системами обеспечения информационной безопасности).
Аналогичный подход, по-видимому, необходимо применить и при определении задач и функций обеспечения информационной безопасности, учитывая при этом результаты сравнительного и системного анализа других нормативных документов и разработок по этим вопросам.