Система захисту інформації в Російській Федерац
Система захисту інформації в Російській Федерац
19 РЕФЕРАТ на тему: «Система захисту інформації в Російській Федерації» Київ 2006 ЗМІСТ ВСТУП РОЗДІЛ І. Принципи, цілі та завдання захисту інформації. Напрямки робіт із захисту інформації. І.1. Принципи захисту інформації; І.2 Цілі захисту Інформації; І.3 Основні завдання системи захисту інформації; І.4 Напрямки робіт із захисту інформації. РОЗДІЛ ІІ. Суб'єкти системи захисту інформації у Російській федерації. РОЗДІЛ ІІІ. Основні організаційно - технічні заходи щодо захисту інформації. Об'єкти та засоби захисту інформації. ІІІ.1 Об'єкти захисту; ІІІ.2 Засоби захисту інформації. РОЗДІЛ ІV. Види загроз безпеки інформації. Матеріальні носії інформації IV.1 Матеріальні носії інформації. ВИСНОВКИ СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ВСТУП Після розвалу СРСР, новостворена Російська Федерація стала прямою наслідницею його військового потенціалу - холодна війна закінчилася. Російська Федерація почала реорганізацію системи наступальних озброєнь та оборони. Особливу увагу для дослідження варто надати російській системі захисту інформації. Адже після розпаду СРСР, українська та російська системи почали розвиватися самостійно, але не відокремлено - через близькість географічного розташування та тісність політичних, суспільних і економічних зв'язків. Тому, вони з однієї точки зору подібні, а з іншої мають ряд принципових відмінностей. В цій роботі розглядаються основоположні засади функціонування системи захисту інформації в Російській Федерації. РОЗДІЛ І. Принципи, цілі та завдання захисту інформації. Напрямки робіт із захисту інформації І.1 Принципи захисту інформації Система захисту інформації Російської Федерації діє на таких основоположних принципах як: 1. Комплексність. Припускає: а) забезпечення безпеки обслуговуючого персоналу, матеріальних і фінансових ресурсів від всіх можливих загроз всіма доступними законними засобами, методами й заходами; б) забезпечення безпеки інформаційних ресурсів протягом усього їхнього життєвого циклу, у всіх технологічних процесах й операціях їхнього створення, обробки, використання й знищення; в) здатність системи захисту інформації до розвитку й вдосконалення відповідно до зовнішніх і внутрішніх умов, які змінилися. 2. Своєчасність - випереджаючий характер, заходів захисту інформації. Припускає постановку завдань по комплексному захисті інформації на стадії проектування (створення) системи її захисту на основі аналізу відомих і прогнозування можливих загроз безпеки інформації, які можуть з'явитися в майбутньому після запуску системи захисту в експлуатацію (реалізацію). 3. Безперервність - постійна підтримка працездатності й розвиток системи захисту інформації. 4. Активність - наполегливість у досягненні цілей і завдань захисту інформації. Припускає постійний маневр силами й засобами захисту інформації, а також вживання нестандартних заходів захисту. 5. Законність - розробка системи захисту інформації на основі чинного законодавства, а також інших нормативних актів, що регламентують безпеку інформації. У ході наступної реалізації системи захисту інформації - застосування всіх законних методів і засобів виявлення й припинення правопорушень в області безпеки інформації. 6. Обґрунтованість. Полягає в тому, що всі методи й засоби захисту інформації повинні бути науково обґрунтованими і сучасними, відповідати останнім досягненням науки й техніки. В своїй сукупності вони повинні відповідати всім встановленим вимогам і нормам по захисту інформації. 7. Економічна доцільність - витрати на розробку й реалізацію (забезпечення заданих параметрів) системи захисту інформації не повинні перевищувати розміри потенційного збитку, що може наступити в результаті порушення безпеки інформації, що захищається. 8. Спеціалізація. Припускає залучення до розробки й впровадження методів і засобів захисту інформації спеціалізованих суб'єктів, що мають державну ліцензію на певний вид діяльності в сфері надання послуг із захисту інформації. Застосовувані ними засобу захисту інформації повинні бути сертифіковані відповідно вимог безпеки інформації. 9. Взаємодія й координація діяльності. Передбачає організацію чіткої взаємодії між всіма суб'єктами захисту інформації, що діють у рамках єдиної системи захисту інформації, а також координацію їхніх зусиль і здійснюваних робіт у цій сфері для досягнення загальних цілей. Полягає в інтеграції й послідовності діяльності по захисту конкретних інформаційних ресурсів. 10. Вдосконалення. Передбачає вдосконалення й розробку нових законодавчих, організаційних і технічних заходів захисту інформації під впливом об'єктивних і суб'єктивних факторів. 11. Централізація керування. Припускає наявність єдиного координаційного центра (суб'єкта), що займається загальними питаннями керування системою захисту інформації, а також однакових вимог по забезпеченню безпеки інформації. І.2 Цілі захисту інформації Першочерговими цілями захисту інформації є: 1. Запобігання витоку, розкрадання, втрати, перекручування й підробки інформації. 2. Запобігання загроз безпеки особистості, суспільства й держави. 3. Запобігання несанкціонованих дій по знищенню, модифікації, перекручуванню, копіюванню, блокуванню інформації, а також запобігання інших форм незаконного втручання в інформаційні ресурси й інформаційні системи. 4. Забезпечення правового режиму документованої інформації як об'єкта власності. 5. Захист конституційних прав громадян на збереження особистої таємниці й конфіденційності персональних даних, наявних в інформаційних системах. 6. Збереження державної таємниці, конфіденційності документованої інформації відповідно до діючого законодавства. 7. Забезпечення прав суб'єктів в інформаційних процесах і при розробці, виробництві й застосуванні інформаційних систем, технологій і засобів їхнього забезпечення. І.3 Основні завдання системи захисту інформації 1. Проведення єдиної політики, організація й координація робіт із захисту інформації в оборонній, економічній, політичній, науково-технічній й іншій сферах діяльності. 2. Виключення або істотне ускладнення добування інформації засобами розвідки. 3. Запобігання витоку інформації по технічних каналах і несанкціонованому доступу до неї. 4. Попередження шкідливих впливів на інформацію, її носіїв, а також технічні засоби її створення, обробки, використання, передачі й захисти. 5. Прийняття правових актів, що регулюють суспільні відносини в галузі захисту інформації. 6. Аналіз стану й прогнозування можливостей технічних засобів розвідки, а також способів їхнього застосування. 7. Формування системи інформаційного обміну відомостями про інформованість іноземних розвідок про сили, методи, засоби й заходи, що забезпечують захист інформації усередині країни й за її межами. 8. Організація сил, розробка науково обґрунтованих методів, створення засобів захисту інформації й контролю за її ефективністю. 9. Контроль стану захисту інформації в органах державної влади, установах, організаціях і на підприємствах всіх форм власності, що використають у своїй діяльності охоронювану законом інформацію. І.4 Напрямки робіт із захисту інформації 1. Підготовка й прийняття законодавчих й інших нормативно-правових актів в області захисту інформації. 2. Забезпечення контролю за їхнім виконанням. 3. Фінансове й кадрове забезпечення заходів щодо захисту інформації. 4. Забезпечення ефективного керування системою захисту інформації. 5. Визначення відомостей, що підлягають охороні, і демаскуючих ознак, що розкривають ці відомості. 6. Аналіз й оцінка загроз безпеки охоронюваної законом інформації. 7. Розробка організаційно-технічних заходів щодо захисту інформації і їхня реалізація. 8. Організація й проведення контролю стану захисту інформації. РОЗДІЛ ІІ. Суб'єкти системи захисту інформації у Російській федерації Російська Федерація має розгалужену централізовану систему суб'єктів захисту інформації, одні з яких безпосередньо здійснюють захист інформації, інші - контролюють їх роботу за допомогою організаційно-правових методів. До суб'єктів, що беруть участь в захисті інформації відносять: 1. Палати Федеральних Зборів: - здійснюють законодавче регулювання відносин у сфері захисту інформації; - розглядають статті федерального бюджету в частині засобів, що направляють на реалізацію державних програм у цій області; - визначають повноваження посадових осіб в апаратах палат Федеральних Зборів по забезпеченню захисту державної таємниці в палатах Федеральних Зборів. 2. Президент Російської Федерації: - Аналіз стану й прогнозування можливостей технічних засобів розвідки, а також способів їхнього застосування. - затверджує державні програми в області захисту інформації; - затверджує по поданню Уряду Російської Федерації склад, структуру міжвідомчої комісії із захисту державної таємниці й положення про неї; - затверджує по поданню Уряду Російської Федерації Перелік посадових осіб органів державної влади, що наділяють повноваженнями по віднесенню відомостей до державної таємниці, а також Перелік відомостей, віднесених до державної таємниці; - містить міжнародні договори Росії про спільне використання й захист відомостей, що становлять державну таємницю; - визначає повноваження посадових осіб по забезпеченню захисту інформації у своїй Адміністрації; - у межах своїх повноважень вирішує інші питання, що виникають у зв'язку з віднесенням відомостей до того або іншого виду таємниці, їхнім засекречуванням або розсекреченням й їхнім захистом. 3. Уряд Російської Федерації: - організує виконання Законів і міжнародних угод в області захисту інформації; - подає на затвердження Президентові склад і структуру міжвідомчої комісії із захисту державної таємниці, а також положення про неї; - подає на затвердження Президентові Перелік посадових осіб органів державної влади, що наділяють повноваженнями по віднесенню відомостей до того або іншого виду таємниці; - організує розробку й виконання державних програм в області захисту інформації; - визначає повноваження посадових осіб по забезпеченню захисту інформації в апарату Уряду; - встановлює розміри й порядок надання пільг громадянам, допущеним до державної таємниці на постійній основі, і співробітникам структурних підрозділів по захисту державної таємниці; - встановлює порядок визначення розмірів збитку, що наступив у результаті несанкціонованого поширення відомостей, що становлять державну таємницю, а також збитку, що наноситься власникові інформації в результаті її засекречування; - містить міжурядові угоди, вживає заходів по виконанню міжнародних договорів Росії про спільне використання й захист відомостей, що становлять державну таємницю, ухвалює рішення щодо можливості передачі їхніх носіїв іншим державам; - у межах своїх повноважень вирішує інші питання, що виникають у зв'язку з віднесенням відомостей до того або іншого виду таємниці, їхнім засекречуванням або розсекреченням й їхнім захистом. 4. Органи державної влади Російської Федерації, органи державної влади суб'єктів Російської Федерації й органи місцевого самоврядування у взаємодії з органами захисту державної таємниці, розташованими в межах відповідних територій: - забезпечують захист переданих їм іншими органами державної влади, підприємствами, установами й організаціями охоронюваної законом інформації, а також відомостей, що засекречують ними; - забезпечують захист державної таємниці на підвідомчих їм підприємствах, в установах й організаціях відповідно до вимог законодавства Російської Федерації; - забезпечують у межах своєї компетенції проведення ревізуючих заходів відносно громадян, що допускають до таємниці; - реалізують передбачені законодавством заходи щодо обмеження конституційних прав громадян і надання пільг особам, що мають або мали доступ до відомостей, що становлять державну таємницю; - вносять у повноважні органи державної влади пропозиції по вдосконаленню системи захисту інформації. 5. Органи судової влади: - розглядають карні й цивільні справи про порушення законодавства в області захисту інформації; - забезпечують судовий захист громадян, органів державної влади, підприємств, установ й організацій у зв'язку з їхньою діяльністю по захисту охоронюваній законом інформації; - забезпечують у ході розгляду зазначених справ захист окремих видів таємниці; - визначають повноваження посадових осіб по забезпеченню захисту охоронюваної законом інформації в органах судової влади. 6. Органи захисту інформації: 1) Міжвідомча комісія із захисту державної таємниці - це колегіальний орган, що координує роботу із захисту інформації в Російській Федерації. 2) Органи федеральної виконавчої влади. До них відносять: Федеральна служба безпеки (ФСБ), Міністерство оборони (МО), Міністерство внутрішніх справ (МВС); Служба зовнішньої розвідки (СЗР), Федеральна служба охорони (ФСО), Федеральне агентство урядового зв'язку при Президенті Російської Федерації, Державна технічна комісія при Президенті Російської Федерації (Держтехкомісія). 3) Органи державної влади, підприємства, установи, організації і їхні структурні підрозділи по захисту охоронюваної законом інформації. Державна технічна комісія при Президенті Російської Федерації (Держтехкомісія Росії) - є органом державного управління захистом інформації в Російській Федерації в області оборони, політики, економіки, науки, екології, ресурсів і протидії іноземним технічним розвідкам. Одночасно із цим вона виконує функції Міжвідомчої комісії із захисту державної таємниці. Рішення Держтехкомісії Росії є обов'язковими для виконання всіма органами державної влади й місцевого самоврядування, підприємствами, установами, організаціями, посадовими особами й громадянами. Держтехкомісія Росії здійснює свою діяльність через Спеціальні центри (Спеццентри Держтехкомісії Росії). Основними функціями Держтехкомісії є: 1. Здійснення в межах своєї компетенції керівництва всіма органами захисту інформації. 2. Проведення єдиної державної політики й координації відомчих робіт із захисту інформації. 3. Організація й контроль за виконанням робіт із захисту охоронюваній законом інформації в органах державного керування, організаціях, установах і на підприємствах всіх форм власності. РОЗДІЛ ІІІ. Основні організаційно - технічні заходи щодо захисту інформації. Об'єкти та засоби захисту інформації Законодавством Російської Федерації (див. список використаних джерел) визначено ряд основних організаційно - технічних заходів щодо захисту інформації, які регулюють основні інформаційні процеси. Основні технічні засоби й системи ЗІ - технічні засоби й системи, а також їхні комунікації, використовувані для обробки й передачі охоронюваної законом інформації. Такими захлдами є: 1. Ліцензування діяльності підприємств в області захисту інформації. 2. Атестування об'єктів по виконанню вимог забезпечення захисту інформації при проведенні робіт з відомостями відповідного ступеня таємності. 3. Сертифікація засобів захисту інформації й контролю за її ефективністю, систем і засобів інформатизації й зв'язки в частині захищеності інформації від витоку по технічних каналах. 4. Присвоєння категорії озброєння й військової техніки, підприємств (об'єктів) по ступені важливості захисту інформації в оборонній, економічній, політичній, науково-технічній й іншій сферах діяльності. 5. Забезпечення умов захисту інформації при підготовці й реалізації міжнародних договорів й угод. 6. Оповіщення про присутність космічних і повітряних літальних апаратів, кораблів і суден, ведучих розвідку об'єктів (перехоплення інформації, що підлягає захисту), розташованих на території Росії. 7. Введення територіальних, частотних, енергетичних, просторових і тимчасових обмежень у режимах використання технічних засобів, що підлягають захисту. 8. Створення й застосування інформаційних й автоматизованих систем керування в захищеному виконанні. 9. Розробка й впровадження технічних рішень й елементів захисту інформації при створенні й експлуатації озброєння й військової техніки, при проектуванні, будівництві (реконструкції) і експлуатації об'єктів, систем і засобів інформатизації й зв'язки. 10. Розробка засобів захисту інформації й контроль за їх ефективністю (спеціального й загального застосування), їхнє використання. 11. Застосування спеціальних методів, технічних заходів і засобів захисту, що виключають перехоплення інформації, переданої по каналах електрозв'язку. ІІІ.1 Об'єкти захисту 1. Особи, допущені до роботи з охоронюваної законом інформації або що мають доступ до приміщень, де ця інформація обробляється. 2. Об'єкти інформатизації - засоби й системи інформатизації, технічні засоби прийому, передачі й обробки інформації, приміщення, у яких вони встановлені, а також приміщення, призначені для проведення службових нарад, засідань і переговорів. 3. Охоронювана законом інформація - інформація, доступ до якої обмежений відповідно до законодавства Росії (конфіденційна інформація). 4. Матеріальні носії охоронюваної законом інформації. 5. Засоби захисту інформації. 6. Технологічні відходи (сміття), що утворилися в результаті обробки охоронюваної законом інформації. ІІІ.2 Засоби захисту інформації Засіб захисту інформації - технічний, криптографічний, програмний й інший засіб, призначений для захисту інформації, засіб, у якому воно реалізовано, а також засіб контролю ефективності захисту інформації. 1. Фізичні; 2. Апаратні; 3. Програмні; 4. Криптографічні. РОЗДІЛ ІV. Види загроз безпеки інформації. Матеріальні носії інформації Загрози об'єкту інформатизації - будь-які можливі процеси й (або) дії, які можуть привести до витоку, розкраданню (у т.ч. копіюванню), руйнуванню, блокуванню або втраті захищає информации, що, оброблюваної на об'єкті інформатизації. Виділяють наступні загрози безпеки інформації. Природні: 1. Стихійні лиха, природні явища (пожежі, землетруси, повені, урагани, смерчі, тайфуни, циклони й т.п.). 2. Мимовільне руйнування елементів, з яких складається засіб електронно-обчислювальної техніки, електрозв'язку й захисту інформації. Штучні (діяльність людини): 1. Навмисні (правопорушення). 1) Пасивний (безконтактний) несанкціонований доступ до інформації: а) візуальне спостереження за об'єктами інформатизації (неозброєним оком; за допомогою оптичних й оптико-електронних приладів і пристроїв); б) перехоплення мовної інформації (за допомогою гостро спрямованих мікрофонів, електронних стетоскопів, лазерного променя, пристроїв дистанційного знімання мовної інформації із провідних ліній електрозв'язку, радіомікрофонних закладок, телефонних закладок, мікрофонних закладок, мінімагнітофонів і диктофонів); в) електромагнітне перехоплення інформації (у радіомережах зв'язку, побічних електромагнітних випромінювань, побічних електромагнітних наведень, паразитних модуляцій ВЧ сигналів, паразитних інформативних струмів і напруг у допоміжних мережах технічних засобів передачі інформації. 2) Активний (контактний) несанкціонований доступ до інформації: а) з використанням фізичного доступу шляхом безпосереднього впливу на матеріальні носії, інші засоби обробки й захисту інформації; б) з використанням штатних і спеціально розроблених (пристосованих, запрограмованих) засобів для негласного одержання, знищення, модифікації й блокування інформації. 2. Ненавмисні (помилки діяльності людини - непереборні фактори): 1) Помилки при створенні (виготовленні) засобів електронно - обчислювальної техніки, електрозв'язку й захисту інформації (помилки проектування, кодування інформації, виготовлення елементів технічних засобів і систем); 2) Помилки, що виникають у процесі роботи (експлуатації) засобів электронно - обчислювальної техніки, електрозв'язку й захисту інформації (неадекватність концепції забезпечення безпеки; помилки керування системою захисту; помилки персоналу; збої й відмови встаткування й програмного забезпечення; помилки при виробництві пускових і налагоджувальних пристроїв для ремонтних робіт. IV.1 Матеріальні носії інформації Матеріальний носій інформації - будь-який технічний пристрій або фізичне поле, призначене для фіксації, зберігання, нагромадження, перетворення й передачі комп'ютерної інформації. Найпоширенішими є наступні види матеріальних носіїв інформації: · внутрішній накопичувач на твердому магнітному або магнітно - оптичному диску (НЖМД або НМОД - вінчестер); · зовнішній накопичувач на твердому магнітному диску (Зіп-драйвер); · зовнішній пристрій нагромадження інформації (стриммер); · " накопичувач на магнітній стрічці або спеціальній металевій нитці (у касетах або бобінах); · гнучкий магнітний диск (ГМД - дискета); · оптичний або магнітнооптичний диск (лазерний або компакт - диск); · паперова (картонна), пластикова або металева карта; · інтегральна мікросхема пам'яті (ІМСП) - мікроелектронний виріб остаточної або проміжної форми, призначене для виконання функцій електронної схеми пам'яті ЕОМ й інших комп'ютерних пристроїв, елементи й зв'язки якого нерозривно сформовані в обсязі й (або) на поверхні матеріалу, на основі якого виготовлений виріб; · лістинг - роздруківка комп'ютерної інформації на твердому фізичному носії (паперу або плівці); · фізичне поле - матеріальний носій фізичних взаємодій штучного або природного походження; · електромагнітний сигнал - засіб переносу інформації в просторі й у часі за допомогою електромагнітних коливань (хвиль). Класифікація матеріальних носіїв інформації 1. За часом зберігання інформації: · оперативні - забезпечують короткочасне зберігання даних і команд, наприклад, оперативний запам'ятовувальний пристрій (ОЗУ) або електромагнітне поле; · постійні - час зберігання інформації обмежується лише терміном служби (фізичним зношуванням) матеріалу МНІ, наприклад, постійний запам'ятовувальний пристрій (ПЗУ) або магнітна стрічка. 2. За умовами коректування інформації: · не перезаписувані - МНІ, на які інформація записується один раз і зберігається постійно до моменту фізичного знищення або повного старіння (зношування) її носія - дозволяють використати інформацію без коректування тільки в режимі "читання", наприклад, перфокарта, перфострічка, карта зі штрих-кодом, не перезаписуваний оптичний диск (компакт-диск), не перезаписувана ІМСП; · однократно перезаписувані - машинні носії, що дозволяють зробити одноразове коректування раніше записаної на них інформації - інформація на них записується частинами (порціями, імпульсами) доти, поки обсяг вільної пам'яті не буде вичерпаний, або один раз із одночасним перезаписом усіх раніше записаних даних, наприклад, інтегральна мікросхема ПЗУ ЕОМ або іншого комп'ютерного пристрою; · багаторазово перезаписувані - МНІ, що допускають багаторазовий перезапис і читання комп'ютерної інформації, наприклад, магнітні диски й стрічки, магнітооптичні диски, інтегральна мікросхема ОЗУ, електромагнітне поле. ВИСНОВКИ Система захисту інформації Російської Федерації є досить добре організованою. Для неї властива чітка централізація, поєднана з децентралізацією органів захисту інформації: одні з них здійснюють безпосередній захист інформації, інші забезпечують належне регулювання та організацію їхньої роботи. Система захисту інформації в Росії - це організована сукупність спеціальних законодавчих й інших нормативних актів, органів, служб, методів, заходів і засобів, що забезпечують безпеку інформації від внутрішніх і зовнішніх загроз. Варто відзначити що в Російській Федерації є окремий закон, що регулює захист персональної таємниці; держава ліцензує діяльність в галузі захисту інформації, а також є окремий міжвідомчий орган (комісія), прямий обов'язок якого - захист державної таємниці. В Україні ці моменти тільки реалізовуються. СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ Ярочкін В.И. Система безпеки підприємства. - 2-і вид. - М., 1998 Закони Російської Федерації: «Об информации, информатизации и защите информации» від (25,01,1995 р.); «Об персональной информации» від (14,11,1994 р.); «Положение о порядке обращеня со служебной информацией ограниченого распространения в Федеральних органах исполнительной власти» від (04,1994 р.); «Положение о государственном лицензировании деятельности в оласти защиты информации» від (23,06,1995 р.); «Положение о Межведедомственной комисии по защите государственной тайны» «Доктрина информационной безопасности»
|