- Меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности;

- Направляющие и координирующие меры, способствующие повышению уровня знаний в области информационной безопасности, помогающие в разработке и распространении средств обеспечения безопасности;

Основной закон Российской Федерации – Конституция. Статьи Конституции закрепляют ряд прав граждан на защиту и получение информации:

Ст. 24 – устанавливает право граждан на ознакомление с документами и нормативными актами, затрагивающими права и свободы;

Ст. 41 – гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья граждан, ст. 42 – право на получение информации о состоянии окружающей среды

Ст. 23 – гарантирует право на личную и семейную тайну

Ст. 29 – право искать, получать, производить и распространять информацию любым законным способом

В Гражданском кодексе определяются понятия как банковская, коммерческая и служебная тайна:

Ст. 139 определяет, что для защиты информации, имеющей коммерческую ценность, ее обладатель имеет законные права по охране ее конфиденциальности.

В Уголовном кодексе введен раздел, посвященный преступлениям в компьютерной сфере:

Ст. 272 – неправомерный доступ

Ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ

Ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сетей

Статья 138 УК РФ предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;

Статья 183 УК РФ направлена на обеспечение защиты коммерческой и банковской тайны.

Закон «Об информации, информатизации и защите информации»

Закон №24-ФЗ (принят 20.02.1995) является одним из основополагающих законов в области информационной безопасности.

В законе юридически определены важные понятия, такие как информация, документированная информация, информационная система, конфиденциальная информация, пользователь информации и т. д.

В законе выделены следующие цели защиты информации:

Предотвращение утечки, хищения, утраты, искажения информации.

Предотвращения угроз безопасности личности, общества, государства.

Предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации.

Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных.

Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.

Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем

Закон «Об информации, информатизации и защите информации»

В законе определены задачи защиты информации (прежде всего конфиденциальности данных):

«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу».

В качестве мер по обеспечению защиты информации в законе устанавливаются:

лицензирование организаций, занимающихся проектированием, производством средств защиты информации;

сертификация продуктов и услуг в области защиты информации.

Закон «О лицензировании отдельных видов деятельности»

Закон от 8.08.2001 устанавливает требование к обязательному лицензированию некоторых видов деятельности, в том числе, относящихся к информационной безопасности:

Распространение шифровальных (криптографических) средств.

Техническое обслуживание шифровальных средств.

Предоставление услуг в области шифрования информации.

Разработка и производство шифровальных средств, защищенных с их помощью информационных систем и телекоммуникационных систем.

Выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП.

Выявление электронных устройств, предназначенных для негласного получения информации.

Разработка и производство средств защиты конфиденциальной информации.

Техническая защита конфиденциальной информации.

В соответствии со статьей 1, действие данного закона не распространяется на следующие виды деятельности:

Деятельность, связанная с защитой государственной тайны.

Деятельность в области связи.

Образовательная деятельность.

Основными лицензирующими органами в области защиты информации являются ФАПСИ (сейчас функции переданы ФСБ) и Гостехкомиссия РФ.

Криптография и связанные с ней мероприятия лицензируются ФАПСИ.

Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации.

Ввоз и вывоз средств криптографической защиты и нормативно-технической документации к ней осуществляется исключительно на основании лицензии МЭРТ, выданной на основании решения ФАПСИ.

Закон «Об электронной цифровой подписи» обеспечивает правовые условия использования электронной цифровой подписи в электронных документах. Действие данного закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок.

ЭЦП равнозначна собственноручной подписи при соблюдении следующих условий:

Сертификат подписи, относящийся к ЭЦП, не утратил силы на момент подписания документа;

Подтверждена подлинность ЭЦП в электронном документе;

ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Законодательный уровень применения цифровой подписи

10 января 2002 года был подписан закон «Об электронной цифровой подписи».

Статья 1. Цель и сфера применения настоящего Федерального закона

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско - правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

В «Оранжевой книге» определены категории требований безопасности:

Гарантии: Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты.

Классы защищенности компьютерных систем по «Оранжевой книге»

«Оранжевая книга» предусматривает 4 группы критериев, соответствующие различной степени защищенности: от минимальной (группа D) до формально доказанной (группа A). Каждая группа содержит по одному или несколько классов. Уровень защищенности возрастает от группы D к группе A, а внутри группы с увеличением класса:

Группа D. Минимальная защита.

Группа C. Дискреционная защита.

Группа B. Мандатное управление доступом.

Группа A. Верифицированная защита.

Руководящие документы Гостехкомиссии РФ

Показатели защищенности средств вычислительной техники (СВТ) от несанкционированного доступа (НСД):

В руководящих документах ГТК устанавливается классификация СВТ по уровню защищенности от НСД. Показатели защищенности содержат требования защищенности СВТ от НСД к информации. Конкретные перечни показателей определяют классы защищенности и описываются совокупностью требований.

Установлено семь классов защищенности СВТ от НСД. Самый низкий класс – седьмой, самый высокий – первый.

Руководящие документы Гостехкомиссии РФ

Установлено девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс отвечает совокупностью требований к средствам защиты. В пределах группы соблюдается иерархия классов защищенности АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС. В группе два класса – 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях разного уровня конфиденциальности. В группе два класса – 2Б и 2А.

Первая группа включает многопользовательские АС, где одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Различные пользователи имеют различные права. В группе пять классов – 1Д, 1Г, 1В, 1Б, 1А.

При выполнении классификации рассматриваются подсистемы защиты и требования к ним:

Подсистема управления доступом

Подсистема регистрации и учета

Криптографическая подсистема

Подсистема обеспечения целостности

Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий»

Стандарт ISO/IEC 15408 является международным оценочным стандартом в области информационной безопасности. Выпущен в 1999 г. Часто для его обозначения используется именование «Общие критерии».

«Общие критерии» являются метастандартом, определяющим инструменты для оценки безопасности информационных систем и порядок их использования.

В отличие от «Оранжевой книги» и других подобных стандартов, Общие критерии не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6