WWW.DISUS.RU

БЕСПЛАТНАЯ НАУЧНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Авторефераты, диссертации, методички

 

Pages:     || 2 | 3 | 4 | 5 |   ...   | 7 |

«А.А. ВАРФОЛОМЕЕВ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебное пособие Москва 2008 Инновационная образовательная программа Российского университета дружбы народов Создание комплекса инновационных образовательных программ и ...»

-- [ Страница 1 ] --

ПРИОРИТЕТНЫЙ НАЦИОНАЛЬНЫЙ ПРОЕКТ «ОБРАЗОВАНИЕ»

РОССИЙСКИЙ УНИВЕРСИТЕТ ДРУЖБЫ НАРОДОВ

А.А. ВАРФОЛОМЕЕВ

ОСНОВЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Учебное пособие

Москва

2008

Инновационная образовательная программа

Российского университета дружбы народов «Создание комплекса инновационных образовательных программ и формирование инновационной образовательной среды, позволяющих эффективно реализовывать государственные интересы РФ через систему экспорта образовательных услуг»

Экспертное заключение – кандидат технических наук, доцент С.В. Запечников Варфоломеев А.А.

Основы информационной безопасности: Учеб. пособие. – М.: РУДН, 2008. – 412 с.: ил.

Учебное пособие посвящено основополагающим вопросам теории и практики обеспечения информационной безопасности и защиты информации. Опираясь на различные международные и национальные стандарты, раскрываются все основные понятия в данной области, в систематизированном виде рассматривается нормативноправовая база. Много внимания в пособии уделено банковской тематике для демонстрации рассматриваемых общих понятий и положений. Изучение материала учебного пособия является первым этапом для дальнейшего изучения других разделов информационной безопасности, которые выделены в связи с их важностью и излагаются в курсах «Современная прикладная криптография», «Управление информационными рисками», «Технические средства защиты информации», «Защита информации с использованием интеллектуальных карт».

Учебное пособие выполнено в рамках инновационной образовательной программы Российского университета дружбы народов, направление «Комплекс экспортоориентированных инновационных образовательных программ по приоритетным направлениям науки и технологий», и входит в состав учебно-методического комплекса, включающего описание курса, программу и электронный учебник.

© Варфоломеев А.А.,

СОДЕРЖАНИЕ

Введение Раздел 1. Основные понятия и задачи информационной безопасности Раздел 2. Понятие национальной безопасности, виды безопасности. Информационная безопасность РФ Раздел 3. Международная, национальная и ведомственная нормативная правовая база в области информационной безопасности Раздел 4. Угрозы и уязвимости информационной безопасности Раздел 5. Стандарты информационной безопасности Раздел 6. Меры и средства защиты информации (меры контроля) Литература Описание курса и программа

ВВЕДЕНИЕ

(Information Security) входит в целый ряд государственных образовательных стандартов по различным специальностям, например:

090102 – «Компьютерная безопасность», 090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 – «Информационная безопасность телекоммуникационных систем»

и других. Тематика курса разрабатывается многими авторами, ими к настоящему времени подготовлено достаточно много книг, в том числе и учебных пособий. Обилие этих книг говорит об огромной величине рассматриваемой области, ее постоянном изменении и увеличении.

Актуальность тематики обеспечена высокой динамикой развития информационных технологий и большой зависимостью их от обеспечения информационной безопасности.

В качестве основы для курса были выбраны следующие книги.

Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая линия – Телеком, 2001. – 148 с.

Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности: Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2006. – 544 с.

Галатенко В.А. Основы информационной безопасности: Курс лекций. – М.: ИНТУИТ. РУ, 2006. – 205 с.

концептуальные, правовые, организационные и технические аспекты:

Учебное пособие. – М.: Гелиос АРВ, 2006. – 528 с.

Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие. – М.: ИД «ФОРУМ»: ИНФРА-М, 2008. – 416 с.

информационной безопасности и во многом основаны на передовом зарубежном и отечественном опыте. Однако даже за прошедшее время с момента выхода книг произошли существенные изменения в данной области, например, вышли новые стандарты и рекомендации по вопросам информационной безопасности и новым технологиям, приняты новые законы и другие акты. В связи с этим должно быть переработано и дополнено содержание всех этих книг и курса на их основе. По-видимому, в последующем также надо будет учесть и процесс гармонизации международных и отечественных стандартов, особенности новых отраслевых стандартов.

Данный курс является основой для изучения других курсов, таких как «Управление информационными рисками», «Технические средства защиты информации», «Современная прикладная криптография», «Защита информации с использованием интеллектуальных карт», в которых должны быть расширены и углублены соответствующие разделы данного курса.

международных сертификатов путем сдачи соответствующих квалификационных экзаменов. Одними из наиболее признанных являются Информационным Консорциумом по Сертификации Защиты Систем (Information Security Certification Consortium (ISC)2 – www.isc2.org).

Содержание курса должно учитывать требования и соответствующие разделы программ этих экзаменов, чтобы в последующем позволить студентам сдать данные экзамены без больших дополнительных усилий.

Отличительной особенностью данного курса является привлечение банковской тематики для демонстрации основных понятий и положений информационной безопасности. В настоящее время в России идет процесс формирования системы требований информационной безопасности для организаций банковской системы, созданы несколько стандартов, система сертификации, методика проверки требований. Конечно, при этом использовался зарубежный опыт, но отечественные разработчики и специалисты по информационной безопасности внесли много нового в этот процесс.

Раздел 1. ОСНОВНЫЕ ПОНЯТИЯ И ЗАДАЧИ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

предшествовать изучение курса информатики, где объясняется сам термин «информации» (от латинского informatio— «научение», «сведение», «оповещение»). В целях замкнутости изложения напомним некоторые сведения, которые будут использоваться далее.

Что такое «информация»? Ответить достаточно сложно. На общелексическом, бытовом уровне понятие «информация» обычно толкуется как «сообщение, осведомляющее о положении дел, о состоянии чего-нибудь». Заметим, что и в нормативных правовых актах чаще всего данное понятие употребляется именно в этом смысле. [Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. – М., 1992. – 255 с.] Норберт Винер (1894–1964) определял информацию как «обозначение содержания, черпаемого нами из внешнего мира в процессе приспособления к нему и приведения в соответствие с ним нашего мышления». Он же говорил, что «информация есть информация, а не материя и не энергия».

Можно встретить и более глубокий подход к информации как «опосредованный формами связи результат отражения изменяемого объекта изменяющимся с целью сохранения их системной целостности»

(см., например, Википедия).

Информация первична и содержательна – это категория, поэтому в категориальный аппарат науки она вводится описанием, через близкие категории: материя, система, структура, отражение. С информацией связаны понятия – знание, данные, сигналы, сообщения, смысл, семантика.

Не следует путать категорию «информация» с понятием «знание». Знание определяется через категорию информация.

В материальном мире человека информация материализуется через свой носитель и благодаря ему существует. Сущность материального мира предстает перед исследователем в единстве формы и содержания.

Передается информация через носитель. Материальный носитель придает информации форму. В процессе формообразования производится смена носителя информации.

В ХХ в. слово «информация» стало термином во множестве научных областей, получив особые для них определения и толкования.

Чтобы зафиксировать термин для дальнейшего обращения с ним, воспользуемся Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Итак, «информация – сведения (сообщения, данные) независимо от формы их представления».

В общем, это согласуется с трактовкой информации в справочной философской литературе последнего времени как «одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.».

Интересно отметить, что в отмененном Законе от 1995 г. «Об информации, информатизации и защите информации» указывалось, что «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Как видим, старое определение хуже, перечисление страдает существенной неполнотой.

Приведем и некоторые другие понятия, связанные с термином «информация», из нового закона.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, вычислительной техники.

информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Доступ к информации – возможность получения информации и ее использования.

Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети (иногда можно встретить термин «компьютерная информация» – информация, телекоммуникационным каналам в форме, доступной восприятию ЭВМ [Комментарии к УК РФ. Под ред. Скуратова Ю.И. и Лебедева В.М. – М.:

НОРМА, 1996. – 832 с.]).

реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Особо можно выделить понятие конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

В качестве комментария можно заметить, что это только часть возможных требований или свойств, которые возможны. Например, как будет подчеркнуто далее, можно выделить «целостность информации», «доступность информации» и другое.

Продолжая перечень понятий, выделим из [ГОСТ Р 50922-96] понятие:

защищаемая информация – «информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации».

Однако теперь по закону № 149-ФЗ к собственнику информации добавился еще и обладатель информации, защищающий ее ограничением доступа, как сказано в определении. К тому же в законе № 149-ФЗ понятие «защищаемая информация» отсутствует, хотя в старом законе оно документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу». По-видимому, решили убрать ограничение, связанное с документированностью информации.

Согласно закону № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. «Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации».

Кроме того, по закону, информация в зависимости от порядка предоставления или распространения подразделяется на информацию:

1) свободно распространяемую;

2) предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) подлежащую предоставлению или распространению в соответствии с федеральными законами;

4) ограниченную или запрещенную для распространения в Российской Федерации.

Закон РФ «О средствах массовой информации», принятый в 1991 г., определяет понятие «массовая информация» как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы». Довольно специфичной информацией являются так называемые «кредитные истории» и «персональные данные», которые рассматриваются специальными законами, о которых будет говориться далее.

Хотя в новом законе № 149-ФЗ нет определения «защищаемая информация», в нем есть определение «защиты информации». (Защиту информации иногда путают с информационной безопасностью.) «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа, 3) реализацию права на доступ к информации».

Это определение, конечно, требует комментария и сравнения с другими определениями из других документов. В п. 1 есть перечисление неправомерных действий, хотя неполное, но информативное. П. 2 касается только конфиденциальности, хотя можно потребовать и целостность и доступность и другое. П. 3 некоторым образом все же касается обеспечения доступности информации.

Забегая вперед можно сказать, что это определение в своих пунктах конфиденциальности и доступности информации, о которых будет сказано далее.

Для сравнения приведем ряд других определений, собранных в словаре Парфенова В.И., который вышел в 2003 г.

Защита информации – 1) деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ Р 50922-96 ЗИ. Основные термины и определения];

конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера [Указ Президента РФ № 1268 от 26 августа 1996 г.];

3) комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, изменения, модификации (подделки), несанкционированного копирования, 1994 г.];

4) организационные, программные и технические методы и средства, направленные на удовлетворение ограничений, установленных для типов данных или экземпляров типов данных в системе обработки данных [Толковый словарь по информатике, 1991];

исследователями (Шеннон, Винера, Бриллюэн и др.). Например, К.Шеннон неопределенности, которую оно устраняет для получателя». Отсюда путь через неопределенность, случайные величины, энтропию.

К. Шеннон предложил единицу измерения информации – бит.

Количество информации описывается формулой вида:

H = - i=1n pi log pi где р_i – вероятность появления i-го сигнала; n – количество возможных сигналов. (В обыденном понимании – чем неожиданнее новость, тем больше ее информативность.) Колмогоров А.Н. в работе «Три подхода к определению понятия "Количество информации"» сформулировал три способа определения алгоритмический. [Новое в жизни, науке, технике. Серия «Математика, кибернетика», N 1, 1991. – С. 24–29 или «Проблемы передачи информации», N 1, 1965. – С. 1–7].

Однако математическая теория информации не охватывает всего богатства содержания информации, поскольку она, прежде всего, абстрагируется от содержательной (семантической) стороны сообщения. С точки зрения этой теории, «совокупность 100 букв, выбранных случайным образом, фраза в 100 слов из газеты, пьесы Шекспира или теорема Эйнштейна имеют в точности одинаковое количество информации». Тем не менее, глубокие теоретические и практические результаты были получены, например, в области секретной связи.

инфраструктуры» и др.

Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах (ресурсах), а информация рассматривается как их часть.

В ряде документов активы или ресурсы (assets) – это «все, что имеет ценность для организации» [См., например, ISO/IEC 13335-1:2004].

Стандарт банка России СТО БР ИББС 1.0-2006 уточняет это определение.

В частности, согласно стандарту активы организации банковской системы Российской Федерации: «все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении».

К активам организации (Банка) могут относиться:

- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);

- информационные активы на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;

- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);

- банковские продукты и услуги.

В свою очередь информационные активы делятся на следующие типы:

финансово - аналитическая информация;

служебная информация;

управляющая информация общего и специального назначения;

справочная информация;

информация операционной и телекоммуникационной среды платежная информация.

В качестве одного из важнейших активов также рассматривается репутация организации. В последнее время часто оценивается и так называемый брэнд организации или торговой марки.

Все активы организации должны быть идентифицированы и классифицированы удобным и приемлемым для нее образом. Примеры рекомендаций для этого даны в проекте рекомендаций Банка России РС БР ИББС-2.3-2008.

Среди объектов защиты особую роль играют приводимые ниже объекты, определение которым мы приводим в данном разделе.

Помимо понятия «информационная система», важны и используются понятия «автоматизированная система», «автоматизированная информационная система» и, в частности, «автоматизированная банковская система».

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [ГОСТ 34.003-90]. В зависимости от вида деятельности выделяют виды автоматизированных систем:

АСУ – автоматизированная система управления, САПР – система автоматизации проектирования, ….

Обращает внимание то, что персонал учитывается при определении «информационной системы» и следующего определения.

программных и технических средств, предназначенных для сбора, хранения, поиска и выдачи информации по запросам [Толковый словарь по информатике. – М.: Ф. и Ст., 1991].

Автоматизированная банковская система – автоматизированная система, реализующая банковский технологический процесс или его часть.

Сразу определим, что такое «банковский технологический процесс», упомянутый в определении. Банковский технологический процесс – технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. В информационный технологический процесс, банковский платежный технологический процесс и др.

Чтобы определить, что такое «информационная безопасность», рассмотрим сначала само понятие «безопасности». Здесь тоже имеет место различие мнений и определений.

Вл. Даль определял, что «безопасность – есть отсутствие опасности, сохранность, надежность». В толковом словаре русского языка Ожегова С.И. сказано, что «безопасность – состояние, в котором не угрожает опасность, есть защита от опасности».

Закон «О безопасности» 1992 г. гласит, что «безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Появилось новое понятие «угрозы», близкое к понятию «опасности», упоминавшемуся у Даля и Ожегова.

Приведем некоторые определения понятия «угрозы» по времени их появления в документах.

1. Угроза – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства [ФЗ «О безопасности» 05.03.1992].

2. Угроза – потенциальный источник возникновения ущерба [ГОСТ Р 51898-2002 п. 3.5].

3. Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации [ISO/IEC 13335-1:2004].

Как видно, в определениях появляются новые понятия «инцидента»

и «ущерба».

Сначала рассмотрим понятие «инцидент», но не просто, а именно «инцидент информационной безопасности».

Инцидент информационной безопасности (information security incident)[ ГОСТ ИСО/МЭК 13335-1] – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В качестве некоторых примеров инцидентов в ГОСТе указаны:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Более сложно понятие «инцидента» определено в стандарте [ISO/IEC 18044: 2004], через «событие информационной безопасности».

нескольких нежелательных или неожиданных событий (информационной безопасности), имеющих значительную вероятность компрометации бизнес-операции и создания угрозы [ISO/IEC 18044: 2004].

идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [ISO/IEC 18044: 2004].

В стандарте Банка России понятие «инцидента» распространено на организацию банковской системы РФ.

банковской системы Российской Федерации – событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.

неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

С инцидентом связано следующее понятие.

Воздействие (impact) – результат нежелательного инцидента информационной безопасности.

Говоря об угрозах, часто используется понятие «модели угроз», которая, согласно стандарту СТО БР ИББС 1.0-2006, «включает описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба».

Разберем понятие «модели угроз» по составляющим.

Источник угроз – субъект, материальный объект или физическое явление, создающее угрозу безопасности информации.

нарушителя. В модели нарушителя конкретизируются субъекты, их средства, знания и опыт, с помощью которых они могут реализовать угрозы и нанести ущерб объектам, а также мотивации их действий.

Злоумышленник – основной субъект угроз, источник противоборства с собственником в борьбе за активы и доходы.

Уязвимость – недостатки или слабые места активов, которые могут быть использованы угрозой [СТО БР ИББС-1.0-2006]. Наличие уязвимости без присутствия угрозы не причиняет ущерба, но все уязвимости должны контролироваться на предмет изменения ситуации. Также и угрозы, не имеющие соответствующих уязвимостей, не приводят к ущербу, но должны учитываться.

Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание.

Отечественный ГОСТ Р 51898-2002 определяет, что «безопасность – отсутствие недопустимого риска». То есть определяет безопасность через другое понятие «риск», которое более емко, чем просто понятие «опасности». К тому же упоминается не просто риск, а недопустимый определений.

Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба [ГОСТ Р 51898-2002. Аспекты безопасности].

В этом документе [ГОСТ Р 51898-2002] также сказано, что термин «риск» обычно используют только тогда, когда существует возможность негативных последствий, а в некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события.

Риск – сочетание вероятности события и его последствий [Guide 73:

2002 Risk Management – Vocabulary – Guidelines for use in standards].

Риск – неопределенность, предполагающая возможность потерь (ущерба) [СТО БР ИББС 0.1-2006].

Следует пояснить суть употребления слова «вероятность» в этих определениях. Об этом подчеркивается, например, и в известном австралийском стандарте AS/NZS 4360:2004 «Risk management».

Вероятность здесь не математическое понятие и число между 0 и 1, а возможность или частота события. Часто вероятность оценивается качественно, например, в терминах «низкая», «средняя», «высокая».

стратегический риск, юридический риск, операционный риск, репутационный риск, рыночный риск, кредитный риск, инвестиционный информационной безопасности и другие.

Не вдаваясь здесь в подробное описание всех перечисленных рисков, приведем определение некоторых из важнейших.

Информационный риск (ИТ-риск) – это опасность возникновения убытков или ущерба в результате применения информационных технологий. Иными словами, ИT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи (М. Мур). С информационным риском наиболее связаны операционный риск и риск информационной безопасности.

Операционный риск – риск убытков, связанных с неадекватными либо неудачными внутренними процессами, действиями персонала или систем, а также в связи с внешними событиями. Операционный риск включает в себя юридический риск, но не включает стратегический и репутационный риски.

Это определение из рекомендаций Базель-2 в переводе ЦБ РФ. В подлиннике оно такое: «Operational risk is defined as:.the risk of direct or indirect loss resulting from inadequate or failed internal processes, people and systems or from external events».

На мой взгляд, лучше следующий перевод: «Операционный риск определяется как риск прямых или косвенных потерь от неадекватных или имеющих недостатки внутренних процессов, от людей и систем или от внешних событий».

Суть в том, что персонал – это только часть людей. Внешние злоумышленники сюда не входят. Это один из примеров сложности перевода англоязычных терминов.

Определение риска информационной безопасности будет далее.

Завершая тему «риска», необходимо дать определение из [ГОСТ Р ИСО/МЭК 17799].

Менеджмент риска (risk management) – скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска [ISO/IEC Guide 73:2002].

идентификации, контроля, устранения или уменьшения последствий определений, взятое из [ГОСТ Р ИСО/МЭК 13335-1].

Далее вопросу менеджмента или управления информационными рисками будет уделено внимание в отдельном курсе. Там будет нужна целая терминосистема по рискам.

Остаточный риск (residual risk) – риск, остающийся после его обработки.

определения величины риска.

идентификацию риска, анализ риска и оценивание риска.

(Оценка риска (risk assessment) – общий процесс анализа риска и оценка степени риска. Это определение из [ISO/IEC Guide 73:2002] используется в ГОСТ Р ИСО/МЭК 17799-2005. Там же используется следующее понятие: Оценивание риска (risk evaluation) – процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска [ISO/IEC Guide 73:2002]. Это еще один из примеров трудности перевода.) осуществления мер по модификации риска. (Аналогично как в [ISO/IEC Guide 73:2002] и [ГОСТ Р ИСО/МЭК 17799-2005].) Обработка риска включает: предотвращение, перенос, снижение и принятие риска. После обработки рисков могут оставаться остаточные риски.

Другие элементы терминосистемы по рискам будут рассмотрены отдельно.

Защитная мера (или мера защиты, контрмера, мера контроля) – мера, используемая для уменьшения риска [ГОСТ Р 51898-2002, ISO/IEC Guide 51].

Или, по другому, защитная мера (safeguard) – сложившаяся практика, процедура или механизм обработки риска. В контексте безопасности информационно-телекоммуникационных технологий термин «защитная мера» может считаться синонимом термина «контроль» [ГОСТ Р ИСО/МЭК 13335-1]. (Иногда говорят о «мерах и средствах защиты». В этом случае имеют в виду организационные меры и технические средства защиты.) Базовые защитные меры (baseline controls) – минимальный набор защитных мер, установленный для системы или организации [ГОСТ Р ИСО/МЭК 13335-1]. Они соответствуют базовому уровню безопасности (Baseline Security) – обязательный минимальный уровень защищенности для информационных систем. В ряде стран существуют требования к системе защитных мер, соответствующих этому уровню (CCTA Baseline security survey – Великобритания, BSI IT-Grundschutz – Германия, ISACA, …).

Контрмеры базового уровня служат для защиты от стандартного набора наиболее распространенных угроз (вирусы, сбои оборудования, не санкционируемый доступ и т.д.).

В целом средства контроля могут обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.

Защитные меры (контроли) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер (или средств) на верхнем уровне. В свою очередь, организационные меры включают законодательные, административные и процедурные меры защиты.

Рис. 1. Общие подходы к безопасности в соответствии Удобно далее говорить о системе обеспечения безопасности. Она включает силы и средства обеспечения безопасности, которые действуют и используются на основе разработанных заранее и закрепленных некоторым формальным образом принципов и правил (в виде нормативноправовых актов, ведомственных инструкций, положений и т.п.).

Можно говорить, что сущность функционирования системы безопасности заключается в выявлении, прогнозировании, предотвращении, нейтрализации, пресечении, локализации, устранении, отражении и уничтожении угроз защищаемому объекту, а также формировании условий, благоприятствующих деятельности данного объекта, достижения им своих целей, защиты его интересов.

Система обеспечения безопасности того или иного объекта решает следующие задачи:

1. Своевременное выявление и прогнозирование внешних и внутренних угроз.

2. Осуществление комплекса оперативных и долговременных мер по предупреждению и нейтрализации внутренних и внешних угроз.

3. Создание и поддержание в готовности сил и средств для обеспечения безопасности.

4. Управление силами и средствами обеспечения безопасности в нормальных (повседневных) условиях и при возникновении чрезвычайных ситуаций.

5. Осуществление системы мер по нормальному функционированию объектов безопасности после возникновения чрезвычайных ситуаций.

6. Участие в мероприятиях по обеспечению безопасности за пределами своего объекта в соответствии с договоренностями (соглашениями) внутри корпорации или объединения фирм (предприятий).

В последнее время все чаще в обиход входит понятие «система комплексной безопасности» [92]. Под этим термином понимается «совокупность организационных мероприятий и действий подразделений охраны и служб безопасности организаций и автоматизированных систем по защите информации, направленных на обеспечение установленного режима, порядка и правил поведения, предотвращение, обнаружение и ликвидацию угроз жизни, среде обитания, имуществу и информации, а также поддержание работоспособности технических средств и систем на охраняемом объекте с целью ограничения или предотвращения действий нарушителя для осуществления опасных несанкционированных операций на объекте, приводящих к частичному или полному нарушению функционирования данного объекта».

Фактически в этом определении просто расширен список угроз безопасности.

Говоря о безопасности, уместно вспомнить ФЗ «О техническом регулировании» 2002 г. В нем определена «безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации» как «состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государству или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений».

Перейдем от понятия «безопасность» к понятию «информационная безопасность».

закреплено в качестве самостоятельной составляющей понятия безопасности в ФЗ «О безопасности» в 1992 г.

информационном обмене» сказано, что «информационная безопасность – обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства». Здесь «информационная среда – сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации».

В Доктрине информационной безопасности РФ от 2000 г. это определение приспособлено и уточнено для России. Именно под «информационной безопасностью Российской Федерации» понимается – состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Вообще, обычно понятие «информационной безопасности» (ИБ) надо уточнять – информационная безопасность чего?

В словаре Парфенова В.И. [61] можно встретить определения: ИБ автоматизированных систем (АС), ИБ государства, ИБ личности, ИБ мирового сообщества, ИБ новых информационных технологий, ИБ общества, ИБ РФ. Этот список можно продолжать. Приведем здесь только одно из определений.

Информационная безопасность автоматизированных систем (АС) – область науки и техники, охватывающая совокупность программноаппаратных, криптографических, технических и организационно-правовых методов и средств обеспечения безопасности информации в автоматизированных системах при ее обработке, хранении и передаче с использованием современных информационных технологий (Погорелов Б.А., Мацкевич И.Б. 1977).

Здесь вызывает возражение только упоминание «современных»

технологий. Обращает на себя внимание другая классификация мер защиты, выделение криптографических методов и средств.

Многие вариации определений информационной безопасности были основаны на определении из британского стандарта BS 7799, вышедшего в 1995 г., где сказано, что информационная безопасность – защищенность ресурсов информационной системы от факторов, представляющих угрозу для конфиденциальности, целостности и доступности.

Доступность (availability) – cвойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта [ИСО/МЭК 7498-2]. Или проще, доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Целостность (integrity) – свойство сохранения правильности и полноты активов [ГОСТ Р ИСО/МЭК 13335-1]. Или целостность – это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность (confidentiality) – свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498-2].

Есть и другие аспекты безопасности. К тому же приведенные аспекты конфиденциальности, целостности и доступности в разных системах имеют разный вес.

В ГОСТ Р ИСО/МЭК 13335-1:2005 это перечисление в определении больше.

Информационная безопасность (information security) – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Приведем те, которые еще не определены ранее.

Неотказуемость (non-repudiation) – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [ИСО/МЭК 13888-1, ИСО/МЭК 7498-2, ГОСТ Р 13335-1].

Подотчетность (учетность, отслеживаемость) (accountability) – свойство, обеспечивающее однозначное прослеживание действий любого логического объекта [ИСО/МЭК 7498-2]. Иногда переводится как «учетность», например, в стандарте Банка России.

Аутентичность (authenticity) – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Примечание. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

предусмотренному поведению и результатам.

Исторически к конфиденциальности было больше внимания. С этим производных: государственная тайна, коммерческая тайна, адвокатская тайна, банковская тайна, врачебная тайна, налоговая тайна, нотариальная тайна, персональные данные, личная и семейная тайна, служебная тайна, тайна голосования, тайна переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, тайна следствия и судопроизводства, (удочерения), аудиторская тайна и др. (всего около 40). Приведем некоторые из них, которым посвящены отдельные законы Российской Федерации в силу их важности.

Государственная тайна – защищаемые государством сведения в разведывательной, контрразведывательной и оперативно-розыскной безопасности Российской Федерации [Закон РФ «О государственной тайне»].

В этом определении не уточняется, какие свойства сведений защищаются. Да и вообще, определение «тайны» через «сведения» не очень хорошо. Лучше следующее определение.

обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [ФЗ РФ «О коммерческой тайне», 2004]. Далее формулировка была изменена на следующую:

Коммерческая тайна – режим конфиденциальной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную № 19-ФЗ и от 24.07.07 «214-ФЗ]. Приведенные определения показывают, насколько сложен и динамичен процесс формирования основных понятий в данной области. Есть еще и определение из ст. 139 Гражданского кодекса РФ (см. далее).

Хотелось бы дать и собственное определение информационной безопасности как «безопасности, связанной с информацией или с информационной сферой». По аналогии с этим определением можно понять и определить, что такое: государственная безопасность, экономическая безопасность, энергетическая безопасность, экологическая безопасность, пожарная безопасность, транспортная безопасность, банковская безопасность и другие.

Информационная безопасность включает в себя компьютерную безопасность в качестве неотъемлемой составной части. Кроме того, по компьютерную безопасность; безопасность информационных систем и процессов; безопасность среды для реализации информационных процессов.

Приведем здесь определение компьютерной безопасности из словаря компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации (данных) от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения несанкционированной модификации программ и т.п..

Помимо системы обеспечения (информационной) безопасности, важна система менеджмента информационной безопасности.

В частности, для организаций банковской системы есть определение:

cистема менеджмента (управления – в некоторых документах) информационной безопасности организации банковской системы Российской Федерации; СМИБ (СУИБ) – это часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].

Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.

Международный стандарт ISO/IEC IS 27001 содержит модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга, модель Деминга-Шухарта).

информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.

На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессов и процедур СМИБ организации.

На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.

На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

Использование для обеспечения ИБ «процессного подхода» на базе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях.

Под процессом понимается совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующих входы в выходы (ГОСТ Р ИСО 9000-2001 «Системы менеджмента качества. Основные положения и словарь»).

Деятельность организации, направленную на цели бизнеса, можно представить в виде совокупности трех групп высокоуровневых процессов:

- основные процессы (процессы основной деятельности);

- вспомогательные процессы;

- процессы менеджмента (управления) организацией.

По определению система менеджмента ИБ (СМИБ), предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ, является частью общей системы менеджмента организации (BS 7799-2).

Построенный на основе методологии IDEF0 рис. 3 иллюстрирует общую модель структур и связей деятельности в области ИБ и основной деятельности организации.

На модели видно, что входными параметрами для обеспечения ИБ организации являются:

- информация о среде организации;

- потребности организации в обеспечении ИБ (мнения менеджеров организации относительно ценности информационных активов);

- описания реализации бизнес-процессов;

- информация по контролю бизнес-процессов и технологий основной деятельности организации (как обратный цикл реализации нормативов по обеспечению ИБ организации).

Кроме того, для управления и обеспечения деятельности в этой области необходимы законы, нормативные документы, стандарты, относящиеся конкретно к этой проблеме, интеграция в общую систему менеджмента организации, а также ресурсы (финансовые, материальные, информационные), люди и оборудование.

В модели явно не представлена еще одна важнейшая деятельность – деятельность по менеджменту (управлению) организацией. Косвенно она представлена как управляющий сигнал на основную деятельность.

Рис. 3. Модель интеграции информационной безопасности в основную Важнейшими исходными данными для эффективной деятельности служб ИБ являются информационные модели основной деятельности организации (описания бизнес-процессов, реализуемых технологий и т.п.).

Данные модели определяют контекст и акценты внимания деятельности служб ИБ, так как они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимости для потенциальных злоумышленников, какие защитные меры могут потребоваться и какие из них могут быть наиболее эффективными.

Результатами (выходами) деятельности и процессов по обеспечению ИБ организации являются:

- документы (отчеты, предложения, внутренние нормативные документы);

- механизмы (средства) обеспечения ИБ и решения по их реконфигурации (совершенствованию);

организации.

Механизмы обеспечения ИБ, являющиеся результатом деятельности и процессов по ее обеспечению в организации, выступающие в качестве ресурсного обеспечения для основной деятельности организации, эксплуатируются службами ИБ, а в отдельных случаях и основными функциональными подразделениями организации. Информация контроля результатов применения и функционирования механизмов (защитных мер) поступает для анализа в службу информационной организации.

безопасности». Приведем несколько определений.

Политика безопасности организации – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

Далее появились разновидности этого определения. Например, такое.

Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию [ГОСТ Р 13335-1].

Нас будет в основном интересовать «политика информационной безопасности». Согласно [ГОСТ Р ИСО/МЭК 17799-2005] политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон. Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью. Политика должна содержать следующие положения:

а) определение информационной безопасности, ее общих целей и сферы действия, а также упоминание значения безопасности как инструмента, обеспечивающего возможность совместного использования информации (см. Введение);

б) изложение намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

в) основание для установки целей контроля и мер контроля, включая структуру оценки риска и менеджмент риска;

г) краткое изложение наиболее существенных для организации политик безопасности, принципов, стандартов и требований, включающее:

1) соответствие законодательным, регулятивным требованиям и договорным обязательствам;

2) требования в отношении обучения и осведомленности в вопросах безопасности;

3) управление непрерывностью бизнеса;

4) ответственность за нарушения политики информационной безопасности;

д) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

е) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации. Дополнительную информацию можно найти в ISO/IEC 13335-1:2004.

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения ее непрерывной стабильности, адекватности и эффективности.

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

В стандарте Банка России приводится понятие политики ИБ банковской системы, похожее на предыдущие определения. Политика информационной безопасности организации банковской системы Российской Федерации – одно или несколько правил, процедур, информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.

Завершает раздел исходная концептуальная схема (парадигма) обеспечения информационной безопасности, которая обсуждается в книге [82] и стандарте Банка России СТО БР ИББС 0.1-2006. Суть парадигмы ИБ – противоборство собственника и злоумышленника за права на информационные активы в целях последующего извлечения дохода.

На самом деле, цели злоумышленника могут быть и другие. Поэтому это понятие трактуется и конкретизируется в стандарте Банка России следующим образом.

В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

Далее по разделам будут появляться характерные им термины и определения.

Раздел 2. ПОНЯТИЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ,

ВИДЫ БЕЗОПАСНОСТИ.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РФ

Материал данного раздела основан на материалах учебных пособий [86 и 92]. Фактически здесь демонстрируется применение понятия «информационной безопасности» к такому объекту, как Российская Федерация.

В Концепции национальной безопасности РФ, утвержденной Указом Президента РФ от 17.12.1997 г. № 1300 (в редакции Указа Президента РФ от 10.01.2000 г. № 24), дается следующее определение национальной безопасности.

Под национальной безопасностью РФ понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в РФ.

сбалансированных интересов личности, общества и государства в внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других. В теории национальной безопасности используется понятие «жизненно важные интересы».

удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства [55]. Как правило, понятия «национальные интересы» и «жизненно важные интересы» являются идентичными.

Национальные интересы носят долгосрочный характер. В области внутренней и внешней политики государства этими интересами определяются: основные цели этой политики; стратегические и текущие задачи.

государственной власти, осуществляющими свои функции, в том числе во взаимодействии с действующими на основе Конституции РФ и законодательства РФ общественными организациями.

Интересы личности состоят в реализации конституционных прав и свобод [55], в обеспечении личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии человека и гражданина.

Интересы общества состоят в упрочении демократии, в создании правового, социального государства, в достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии равноправного и взаимовыгодного международного сотрудничества.

заключаются в соблюдении конституционных прав и свобод граждан в государственных информационных ресурсов от несанкционированного доступа.

Важнейшими составляющими национальных интересов России являются защита личности, общества и государства от терроризма, в том числе международного, а также от чрезвычайных ситуаций природного и техногенного характера и их последствий, а в военное время – от опасностей, возникающих при ведении военных действий или вследствие этих действий.

Достижению национальных интересов препятствуют те или иные уязвимости и угрозы.

Уязвимостями для национальной безопасности страны, например, являются: состояние отечественной экономики, несовершенство системы организации государственной власти и гражданского общества, наличие преступности и терроризма, обострение межнациональных и осложнение международных отношений и другие.

информационной сфере. Серьезными угрозами являются: стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;

телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

определяется состоянием информационной безопасности.

Важнейшими задачами обеспечения информационной безопасности РФ являются:

• реализация конституционных прав и свобод граждан РФ в сфере информационной деятельности;

• совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

информационной сфере.

Основу системы обеспечения национальной безопасности РФ составляют органы, силы и средства обеспечения национальной организационного, экономического, военного и иного характера, направленные на обеспечение безопасности личности, общества и государства.

Полномочия органов и сил обеспечения национальной безопасности соответствующими законодательными актами РФ.

национальной безопасности: экономическую, внутриполитическую, социальную, духовную, международную, информационную, военную, пограничную, экологическую.

Содержание каждой из перечисленных составляющих отражено в соответствующих нормативных правовых актах.

Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства. Компьютеры являются основой множества автоматизированных систем обработки информации (АСОИ). По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

возрастающей ролью информационной сферы. Информационная сфера инфраструктуры, субъектов, осуществляющих сбор, формирование, [Доктрина ИБ РФ, 2000].

Информационная сфера, являясь системообразующим фактором экономической, оборонной и других составляющих безопасности РФ.

Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать [Доктрина ИБ РФ, 2000].

понимается состояние защищенности ее национальных интересов в сбалансированных интересов личности, общества и государства [Доктрина ИБ РФ, 2000].

классификации национальных интересов в информационной сфере:

• первую можно назвать классификацией по принадлежности интересов;

• вторую можно назвать классификацией по важности интересов.

В соответствии с первой классификацией национальные интересы – это совокупность интересов личности, интересов общества и интересов государства.

Интересы личности:

• Реализация конституционных прав на доступ к информации.

• Использование информации в интересах осуществления не запрещенной законом деятельности.

• Физическое, духовное и интеллектуальное развитие.

• Защита информации, обеспечивающей личную безопасность.

Интересы общества:

• Обеспечение интересов личности в информационной сфере.

• Упрочение демократии, создание правового, социального государства.

• Достижение и поддержание общественного согласия.

• Духовное обновление России.

Интересы государства:

• Гармоничное развитие российской информационной инфраструктуры.

• Реализация конституционных прав человека и гражданина в области получения информации и пользования ею.

• Незыблемость конституционного строя, суверенитета и территориальной целостности России.

• Политическая, экономическая и социальная стабильность.

• Безусловное обеспечение законности и поддержание правопорядка.

• Развитие равноправного и взаимовыгодного международного сотрудничества.

Угрозы и источники угроз в информационной сфере Российской Федерации безопасности РФ подразделяются на следующие виды [Доктрина ИБ РФ, 2000]:

• угрозы конституционным правам и свободам человека и гражданина в индивидуальному, групповому и общественному сознанию, духовному возрождению России;

• угрозы информационному обеспечению государственной политики РФ;

• угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, информационных ресурсов;

• угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

подразделяются на внешние и внутренние.

Внешними источниками угроз, например, являются:

• иностранные политические, экономические, военные, разведывательные и информационные структуры, направленные против интересов РФ в информационной сфере;

• международные террористические организации;

наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

• разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, несанкционированного доступа к ним.

Внутренними источниками угроз, например, являются:

• критическое состояние отечественных отраслей промышленности;

• неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

• недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

• недостаточная разработанность нормативной правовой базы, недостаточная правоприменительная практика;

• неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

• недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;

• недостаточная экономическая мощь государства;

• снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

• недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

• отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитнофинансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Хотя в Доктрине и приведены эти внутренние источники, но фактически они являются не источниками, а уязвимостями. Все зависит от понимания этих понятий.

информационной безопасности Российской Федерации На рис. 4 представлена указанная структура в виде схемы из работы [76].

Рис. 4. Структура государственной системы обеспечения информационной информационной безопасности и основные функции ее составных частей.

Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. № 912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны.

Межведомственная комиссия по защите государственной тайны, ФСТЭК, ФСБ, СВР и др.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной информационной безопасности:

информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;

территории РФ;

информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

4) защита информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.

Основными задачами в области обеспечения информационной безопасности для ФСТЭК России являются:

1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;

2) осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;

4) осуществление самостоятельного нормативно-правового регулирования вопросов: обеспечения безопасности информации в ключевых системах информационной инфраструктуры; противодействия техническим разведкам; технической защиты информации; размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и исключительной экономической зоне РФ; координации деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;

5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;

технических разведок, выявление угроз безопасности информации;

средствами разведки, техническая защита информации;

8) осуществление координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и исключительной экономической зоне РФ;

деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;

Межведомственной комиссии по защите государственной тайны.

ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, приказами и директивами Министра обороны РФ в части, касающейся ФСТЭК России, положением о ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.

ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.

Обеспечение информационной безопасности является одним из основных направлений деятельности органов Федеральной службы безопасности (ФСБ) России.

Обеспечение информационной безопасности осуществляется ими в пределах своих полномочий:

• при формировании и реализации государственной и научнотехнической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

• при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и ее учреждениях, находящихся за пределами РФ.

деятельности может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.

деятельность по обеспечению информационной безопасности, защите государственной тайны в Вооруженных силах, а также в установленном порядке в пределах своей компетенции работы по сертификации средств защиты информации.

ведомства) в пределах своей компетенции:

• определяют перечень охраняемых сведений;

подведомственных предприятиях;

• организуют и координируют проведение НИОКР в области защиты программами;

• разрабатывают отраслевые документы по защите информации;

установленных норм и требований по защите информации;

• создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

• организуют подготовку и повышение квалификации специалистов по защите информации.

государственного управления функционируют научно-технические подразделения (центры) защиты информации и контроля.

На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.

Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.

Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:

• защита персональных данных;

• борьба с компьютерной преступностью, в первую очередь в финансовой сфере;

• защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;

• защита государственных секретов;

• создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;

производств;

• страхование информации и информационных систем;

• сертификация и лицензирование в области безопасности, контроль безопасности информационных систем;

• организация взаимодействия в сфере защиты данных со странами – членами СНГ и другими государствами.

Ключевыми проблемами также являются:

1. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработка реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.

2. Разработка механизмов реализации прав граждан на информацию.

3. Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области.

4. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

5. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности.

6. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.

7. Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.

Огромную роль в информационной сфере в России в настоящее время также играют Мининформсвязи и ФАИТ. Большую работу для обеспечения информационной безопасности кредитно-финансовой сферы РФ проводит Центральный банк.

информационной безопасности России безопасности РФ основывается на следующих основных принципах [Доктрина ИБ РФ]:

осуществлении деятельности по обеспечению информационной безопасности РФ;

государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающей информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ;

• правовом равенстве всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающемся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

информационных и телекоммуникационных технологий, производстве совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.

безопасности РФ являются [Доктрина]:

• разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности РФ;

• разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов РФ, повышение правовой инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационнотелекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов РФ, обеспечение технологической независимости страны в области создания и эксплуатации информационнотелекоммуникационных систем оборонного назначения;

• развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности РФ;

информатизации и обеспечения информационной безопасности телекоммуникационных систем общего и специального назначения.

Раздел 3. МЕЖДУНАРОДНАЯ, НАЦИОНАЛЬНАЯ

И ВЕДОМСТВЕННАЯ НОРМАТИВНАЯ ПРАВОВАЯ БАЗА

В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Информация в жизни современного общества играет значительную роль. Современные информационные технологии проникли практически во все сферы общественных отношений. Это привело к необходимости создания правовых норм, регулирующих область информационных отношений. Такие нормы необходимы в силу того, что информация обладает рядом специфических свойств, которые принципиально отличают ее от других объектов права. Украсть информацию можно, не проникая в помещение, в котором она хранится, к тому же, информация после похищения, как правило, остается в распоряжении владельца в неизменном виде.

заключается в исполнении существующих или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, руководителей, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к техническим средствам и информации. Целью законодательных мер по защите информации являются предупреждение и сдерживание потенциальных нарушителей.

Для уяснения правовой сущности различных документов, с помощью которых осуществляется регулирование отношений, связанных с обеспечением информационной безопасности, рассмотрим общеправовые понятия, прежде всего понятие нормативности, производными от которого являются понятия правовой нормы, нормативного правового акта, нормативного документа.

Всякий акт (документ), принятый уполномоченным законом органом или лицом в пределах своей компетенции, является правовым, поскольку он регулирует соответствующие отношения. Правовые акты могут быть обязательными для неопределенного круга лиц, иметь персональный или рекомендательный характер. Акты обязательные именуются нормативными правовыми актами, все другие – ненормативными правовыми актами. Географические границы действия нормативных правовых актов определяются статусом принимающего их органа или должностного лица (федеральный, субъекта Российской Федерации, муниципальный). Нормативные правовые акты, принимаемые организациями, именуются локальными.

В законодательстве отсутствует определение понятия нормативного правового акта. Основные признаки нормативного правового акта даются в теории права, документах органов власти. В одном из постановлений Государственной Думы Федерального Собрания Российской Федерации за 1996 г. нормативный правовой акт определен как письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. Под правовой нормой понимается общеобязательное правило поведения, установленное уполномоченным государственным органом и предназначенное для неоднократного применения.

Пленум Верховного Суда Российской Федерации в Постановлении от 25 мая 2000 г. № 19 разъяснил, что под нормативным правовым уполномоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение, действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом. Приведенное определение повторено в Постановлении Пленума Верховного Суда Российской Федерации от января 2003 г. № 2 (п. 12).

В отличие от нормативного правового акта акт, устанавливающий, изменяющий или отменяющий права и обязанности конкретных лиц, ненормативным правовым актом. К таким актам относятся, в частности, документы, используемые в правоприменительной деятельности.

соответствующие законы Российской Федерации и субъектов Российской Федерации, указы Президента Российской Федерации, постановления Правительства Российской Федерации, акты федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, муниципальных органов, руководящих органов организаций.

Согласно Указу Президента Российской Федерации от 9 марта г. № 314 «О системе и структуре федеральных органов исполнительной власти» право принимать нормативные акты имеют не все федеральные органы исполнительной власти, а только федеральные министерства. Но эти министерства в соответствии с Федеральным законом «О техническом регулирования, где могут издавать только акты рекомендательного характера. Исключение из данного правила установлено в ст. 5 данного Закона в отношении специальной продукции, работ и услуг.

С учетом сказанного информацию в правовой системе по ее роли можно разделить на правовую и не правовую, как показано на рис. 5.

Рис. 5. Классификация информации по ее роли в правовой системе Нормативная правовая информация создается в порядке правотворческой деятельности и содержится в нормативных правовых актах. Классификация такой информации по уровню принятия актов или по видам актов приведена на рис. 6.

Ненормативная правовая информация создается, как правило, в порядке правоприменительной и правоохранительной деятельности. С помощью такой информации реализуются предписания правовых норм.

Эта информация создается в объекте управления и движется в контуре обратной связи системы правового управления.

Рис. 6. Классификация нормативной правовой информации по видам актов На следующем рис. 7 представлена обобщенная схема нормативноправового и справочного обеспечения информационной безопасности (ИБ) информационных технологий (ИТ).

Нормативно-справочное обеспечение безопасности правовые документы нормативные акты Рис. 7. Обобщенная схема нормативно-справочного обеспечения информационной безопасности (ИБ) информационных технологий В соответствии с Конституцией России международные документы, подписанные от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня. Документы, не подписанные от имени России, могут использоваться, если они не противоречат законодательству страны.

Закон – это нормативно-правовой акт, принимаемый высшим представительным органом государственной власти в особом законодательном порядке, обладающий высшей юридической силой и регулирующий наиболее важные общественные отношения с точки зрения интересов и потребностей населения страны.

Подзаконные нормативно-правовые акты – это правотворческие акты компетентных органов, которые основаны на законе и не противоречат ему. По своему содержанию подзаконные акты, как правило, являются актами различных органов исполнительной власти. По субъектам издания и кругу распространения они подразделяются на общие, местные, ведомственные и внутриорганизационные акты.

Общие подзаконные акты – это нормативно-правовые акты общей компетенции, действие которых распространяется на всех лиц в пределах территории страны. По своей юридической силе и значению – следуют за законами. Они исходят от президента страны или главы правительства.

Указы Президента – в системе подзаконных актов обладают высшей юридической силой и издаются на основе и в развитии законов.

Постановления Правительства – это подзаконные нормативные акты, принимаемые в контексте с указами президента и призванные урегулировать более мелкие вопросы государственного управления экономикой, образованием и т.д.

Местные подзаконные акты – это нормативно-правовые акты органов представительной власти на местах. Действие этих актов ограничено подвластной им территорией.

инструкции) – это нормативно-правовые акты общего действия, однако они распространяются лишь на ограниченную область общественных отношений (таможенные, банковские, транспортные и др.

организациями для регламентации своих внутренних вопросов и распространяются на членов этих организаций.

К числу международных актов относят: декларации; конвенции;

рекомендации; соглашения; стандарты. Разработкой этих документов занимаются различные структурные подразделения международных организаций, такие как:

Организация Объединенных Наций;

Совет Европы (комитет министров);

Европейский комитет по проблемам преступности;

Комитет экспертов по преступности в киберпространстве (КЭ-ПК);

Международная электротехническая комиссия (МЭК/IEC);

Международная организация по стандартизации (ИСО/ISO);

Британский институт стандартов (BSI);

Американский институт AICPA и др.

Россия неоднократно выступала с инициативами в области международной информационной безопасности (резолюции Генеральной ассамблеи ООН A/RES/56/19 – ноябрь 2001 г., A/RES/57/53 – ноябрь г., A/RES/58/32 – декабрь 2003 г.). В соответствии с принятыми резолюциями с 2002 г. проходят Всемирные встречи на высшем уровне по вопросам информационного общества. Последняя из них состоялась 16– 18 ноября 2005 г. в Тунисе.

В 2004 г. была создана специальная Группа правительственных экспертов государств – членов ООН. Эта группа должна провести всестороннее исследование проблем международной информационной безопасности, подготовить свои рекомендации для их решения.

информационной безопасности в нашей стране чаще всего применяются организационно-технические документы, в частности стандарты.

Большая часть из них принята в качестве национальных стандартов в сфере защиты информации.

Отечественная федеральная и ведомственная нормативная база по защите информации к настоящему времени включает более сотни нормативных документов, относящихся к вопросам информационной безопасности на государственном, региональном, местном, ведомственном уровнях. По своему назначению и содержанию их можно разделить на три группы:

1. Концептуальные документы, определяющие основу защиты информации в России.

2. Федеральные законы, определяющие систему защиты информации в России.

3. Вспомогательные нормативные акты в виде указов Президента ведомственных руководящих документов и стандартов, регулирующих процесс и механизмы исполнения положений и требований к системе обеспечения информационной безопасности государства.

Концептуальные документы Информационное право как нормативная база информационного общества, как и само информационное общество, только формируется.

Бурное наступление реалий информационного общества требует пересмотра представлений об информационной индустрии, ее роли и месте информационного общества в целом, то специфика современного момента выражается в том, что дальнейший прогресс информационных и телекоммуникационных технологий зависит не столько от прорывов собственно в технологиях, сколько от того, насколько быстро будут традиционно разные сектора – телекоммуникации, телевидение и иные средства массовой информации.

Окинавская хартия В июле 2000 г. в Окинаве «восьмерка» развитых стран приняла устанавливаются основные принципы вхождения государств и стран в это общество. «Восьмерка» провозгласила основные положения, которые страны будут применять при осуществлении политики по формированию и развитию информационного общества:

- информационно-коммуникационные технологии (ИТ) – один из наиболее важных факторов, влияющих на формирование общества XXI в.;

трансформации заключается в ее способности содействовать людям и обществу в использовании знаний и идей;

- стремясь к достижению этих целей, руководители стран «восьмерки» подтверждают свою приверженность принципу участия в этом процессе исходя из того, что все люди повсеместно без исключения должны иметь возможность пользоваться преимуществами глобального информационного общества;

- руководители стран «восьмерки» будут осуществлять руководство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы, стимулирующих конкуренцию и новаторство, по обеспечению экономической и финансовой стабильности, содействующих сотрудничеству, по оптимизации глобальных сетей, борьбе со злоупотреблениями, которые подрывают целостность сети, по сокращению разрыва в цифровых технологиях, инвестированию в людей и обеспечению глобального доступа и участия в этом процессе;

- Хартия является, прежде всего, призывом ко всем как в государственном, так и в частном секторах ликвидировать международный разрыв в области информации и знаний.

В Хартии выделяются четыре раздела, раскрывающих основные подходы по использованию возможностей цифровых технологий, преодолению электронно-цифрового разрыва, содействию всеобщему участию, дальнейшему развитию. Отмечается, что задача создания предсказуемой, транспарентной и не дискриминационной политики и нормативной базы, необходимой для информационного общества, лежит на правительствах. Необходимо заботиться о том, чтобы правила и процедуры, имеющие отношение к ИТ, соответствовали коренным изменениям в экономических сделках с учетом принципов эффективного партнерства между государственным и частным секторами, а также транспарентности и технологической нейтральности. Такие правила должны быть предсказуемыми и способствовать укреплению делового и потребительского доверия.

представителей органов власти стран по защите интеллектуальной собственности в области информационных технологий, подтверждает обязательство правительств использовать только лицензированное программное обеспечение, продвижение рыночных стандартов, включая, например, технические стандарты функциональной совместимости, повышение доверия потребителя к электронным рынкам в соответствии с руководящими принципами ОЭСР, в том числе посредством эффективных саморегулирующих инициатив, таких, как кодексы поведения, маркировка и другие программы подтверждения надежности, и изучение вариантов устранения сложностей, которые испытывают потребители в ходе трансграничных споров, включая использование альтернативных механизмов разрешения споров, развитие эффективного и значимого механизма защиты личной жизни потребителя, а также защиты личной жизни при обработке личных данных, с обеспечением при этом свободного функционирование электронной идентификации, электронной подписи, достоверности операций.

направленные на развитие глобального информационного общества, должны сопровождаться согласованными действиями по созданию безопасного и свободного от преступности кибер-пространства.

«Восьмерка» берет на себя обязательство обеспечить осуществление эффективных мер, как это указано в Руководящих принципах по безопасности информационных систем ОЭСР, в борьбе с преступностью в компьютерной сфере. Будет расширено сотрудничество стран «группы организованной преступности. «Восьмерка» будет и далее содействовать безопасности и доверии в киберпространстве. Необходимо также найти эффективные политические решения таких актуальных проблем, как, например, попытки несанкционированного доступа и компьютерные информационных инфраструктур.

«Восьмерка» согласилась учредить Группу по возможностям информационной технологии (Группа ДОТ), чтобы объединить усилия в целях формирования широкого международного подхода. Группа будет изыскивать пути к принятию конкретных мер в приоритетных областях, в том числе по формированию политического, нормативного и сетевого обеспечения.

Таким образом, Окинавская хартия являет собой важнейший документ, призванный организовать и активизировать деятельность стран информационного общества планеты Земля. Большая роль в этом сложном комплексном процессе в Хартии отводится нормативному обеспечению.

нормативной базы информационного общества, его дальнейшем развитии, международного сотрудничества в области нормативного обеспечения информационного общества.

Директивы ОЭСР сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности» (далее — Директивы). Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности. Принципы имеют краткие и основополагающие формулировки, благодаря которым доступны для понимания всеми участниками. Директивы уделяют внимание развивающимся рискам и все большей взаимосвязанности сетевой экономики. Эти новые обстоятельства также расширили масштаб применимости Директив. До относительно недавнего времени безопасность ИТ была специальной областью, которая редко привлекала внимание кого-либо в сфере бизнеса или правительствах, кроме профессионалов в сфере ИТ. Мировые события, связанные с вирусными атаками, способными разрушить бизнес, и вопросами, затрагивающими физическую безопасность, выдвинули информационную безопасность в ряд главнейших забот бизнеса, правительства и гражданского общества.

Это меняющееся отношение к безопасности отразилось в новом подзаголовке Директив «К культуре безопасности» и в том факте, что они адресованы всем участникам в соответствии с их ролями.



Pages:     || 2 | 3 | 4 | 5 |   ...   | 7 |


Похожие работы:

«ДЕПАРТАМЕНТ АГРОПРОМЫШЛЕННОГО КОМПЛЕКСА, ТОРГОВЛИ И ПРОДОВОЛЬСТВИЯ ЯНАО ГБПОУ ЯНАО Ямальский полярный агроэкономический техникум Методические рекомендации по оформлению выпускных квалификационных работ Салехард – 2014 СОДЕРЖАНИЕ 1. Оформление дипломной работы 3 2. Оформление дипломной работы - как оформлять заголовки 4 3. Оформление дипломной работы - содержание 5 4. Оформление дипломной работы - рисунки 5 5. Оформление дипломной работы - таблицы 6 6. Оформление дипломной работы - примечания 7...»

«ВСЕРОССИЙСКАЯ ОЛИМПИАДА ШКОЛЬНИКОВ ПО ЭКОНОМИКЕ МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по разработке заданий для школьного и муниципального этапов всероссийской олимпиады школьников по экономике в 2012/2013 учебном году Москва 2012 Методические рекомендации по разработке заданий для школьного и муниципального этапов всероссийской олимпиады школьников по экономике в 2012/2013 учебном году _ Введение Настоящие методические рекомендации подготовлены центральной предметно-методической комиссией по экономике с...»

«МЕТОДИЧЕСКИЕ УКАЗАНИЯ К ВЫПОЛНЕНИЮ И ОФОРМЛЕНИЮ КУРСОВЫХ И ВЫПУСКНЫХ КВАЛИФИКАЦИОННЫХ РАБОТ Для студентов, обучающихся по направлению подготовки 210100.62 – Электроника и наноэлектроника Составитель Г. А. Мустафаев Владикавказ 2014 0 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования СЕВЕРО-КАВКАЗСКИЙ ГОРНО-МЕТАЛЛУРГИЧЕСКИЙ ИНСТИТУТ (ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ) Кафедра электронных приборов...»

«Стандарты основного общего образования по истории Тематическое планирование 9 класс. Новейшая история. ХХ – начало ХХI в. (24 часа) учебник Сороко- Цюпа- 6-е изд.М.: Просвещение 2004г. Новейшая история России ( ХХ – начало ХХI в.) (46 часов) учебник Данилов А.А. 7-е изд.-М.: Просвещение 2010 год. Авторы программы: Данилов А.А.,Косулина Методическое пособие, автор Кишенкова О.В.- М.Дрофа, 2001 год. Рабочая тетрадь по истории России,авторы А.А.Данилов, Л.Г.Косулина. Издательство Просвещение...»

«РЕСПУБЛИКА БАШКОРТОСТАН АРХАНГЕЛЬСКИЙ РАЙОН ПЛАН РАЗВИТИЯ КУРОРТНО-ОЗДОРОВИТЕЛЬНОГО КЛАСТЕРА В АРХАНГЕЛЬСКОМ РАЙОНЕ РБ АРХАНГЕЛЬСКОЕ - УФА - 2010 ПЛАН РАЗВИТИЯ КУРОРТНО-ОЗДОРОВИТЕЛЬНОГО КЛАСТЕРА В АРХАЬ1ГЕЛЬСКОМ РАЙОНЕ РБ * ОГЛАВЛЕНИЕ 1. ИСХОДНЫЕ ПОЛОЖЕНИЯ 2. ОБОСНОВА1ЖЕ ВЫБОРА РЕГИОНА 3. ПЛАН ТУРИСТИЧЕСКОГО КЛАСТЕРА АРХАНГЕЛЬСКОГО РАЙОНА РБ ВСЕСЕЗОННАЯ ЗОНА ЗДОРОВЬЯ И ОТДЫХА

«MI,IHI4CTEPCTBOCIOPTA POCCTTfrCKOIZ @EAEP/J]0/1?I.DEAEPANbHOEOCYAAPCTBEHHOE f ETOA}KETHOE OFPA3OBATEJ'IbHOE YIIPEXAEHI4E BbICruEf O IIPO@ECCUOHAJILHOIO OBPA3OB AIJIIfl (P OCCrIR CI{4IZ f OCyAAp CTBEHHbII;I yHr4BEpCr{TET @I43trIqECKOTIKYIbTYPbI, CIIOPTA,MONONE }KII{TI TYPII3MA (IIIonI4@K)) ( Anu. OTTIET o cAMooECnEAOBAHr4rr @EAEpAnbHOrO TOCyAAPCTBEHHOTOETOAXETHOI O OFPA3OBATEJIbHOI O YI{PEXAEHII.g BbICTUE| O IIPO@ECCI4OHAJIbHO| O OEPA3OBAHIlIfl (P OCCI4IZC KI4I;I f OCYAAPCTB EH HbIIZ...»

«Министерство образования и науки Украины Севастопольский национальный технический университет КУЛЬТУРОЛОГИЯ Методические указания к самостоятельному изучению теоретического блока культурологии для студентов всех специальностей заочной формы обучения Севастополь 2005 Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com) 2 УДК 008 Культурология: Методические указания к самостоятельному изучению теоретического блока культурологии для студентов всех...»

«Министерство образования и науки Российской Федерации ФГБОУ ВПО Московский архитектурный институт (государственная академия) А.Д. Чебанов Приближенная оценка акустического качества залов различного функционального назначения Учебно-методические указания Москва МАРХИ 2012 3 УДК 534.2 ББК 38.113 Ч 34 Чебанов А.Д. Приближенная оценка акустического качества залов различного функционального назначения: учебно-методические указания / А.Д. Чебанов.—М.: МАРХИ, 2012. — 24 с. Учебно-методические указания...»

«Система управления рисками в ОАО Промэнергобанк Управление рисками и их минимизация (риск-менеджмент) традиционно являются приоритетными в деятельности ОАО Промэнергобанк (далее – Банк). Основным подходом к минимизации банковских рисков является определение их количественных параметров и выработка методов управления рисками. Советом директоров Банка 01.02.2013 утверждена Политика управления банковскими рисками (далее – Политика). Политика разработана с учетом накопленного мирового опыта в...»

«Негосударственное образовательное учреждение высшего профессионального образования Институт экономики и управления (г. Пятигорск) НОУ ВПО ИнЭУ УТВЕРЖДАЮ Проректор по учебной работе / И.В. Данильченко / (Протокол № 2 от 29 октября 2013 г.) МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО НАПИСАНИЮ КУРСОВЫХ РАБОТ ПО ДИСЦИПЛИНЕ Б2.В.4 Высокоуровневые методы информатики и программирования 230700.62 - Прикладная информатика Направление подготовки бакалавр Квалификация (степень) выпускника Прикладная информатика в экономике...»

«2.7. исследование лекарственной чувствительности микобактерий 2.7.1. основные понятия Лекарственная устойчивость микобактерий туберкулеза (ЛУ МБТ) является одной из самых серьезных проблем современной фтизиатрии. Определение лекарственной чувствительности (ЛЧ) микобактерий является решающим фактором для выбора оптимальной химиотерапии туберкулеза, прогноза и своевременной коррекции лечения, а также служит важным показателем эпидемиологической напряженности по туберкулезу в отдельных регионах...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Московский государственный университет геодезии и картографии (МИИГАиК) Н.А. Билибина, А.А. Макаренко, В.С. Моисеева ОСНОВНЫЕ КАРТОГРАФИЧЕСКИЕ ПРОИЗВЕДЕНИЯ Проектирование и составление общегеографических карт мелкого масштаба Допущено Учебно-методическим Объединением по классическому университетскому образованию РФ в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению 020500 – География и картография...»

«Новые поступления март, апрель 2014 г. Гайнуллина Л.Ф., Сафина А.М. Логические и методологические основы научно-технической деятель -ности: учеб. пособие / Л.Ф. Гайнуллина, А.М.Сафина. Казань: Изд-во Казанск. гос. архитект.-строит. ун-та, 2013. - 153 с. ISBN 978-5-7829-0439-5 Печатается по решению Редакционноиздательского совета Казанского государственного архитектурно-строительного университета В учебном пособии рассматриваются философские, методологические, мировоззренческие проблемы науки,...»

«Пояснительная записка Рабочая программа составлена на основе Федерального Государственного стандарта, Программы для общеобразовательных учреждений. Химия //Программы для общеобразовательных учреждений. Химия. 8-11 классы. - М.: Просвещение, 2009. – 55 с.//. Н.Н.Гара. Изучение химии в 9 классе направлено на достижение следующих целей: освоение важнейших знаний о химической символике, об основных химических понятиях, фактах, теориях и законах химии; овладение умениями наблюдать химические...»

«Культурология: Учебник для вузов, 2005, Вадим Маркович Розин, 5829701340, 9785829701345, Гардарики, 2005 Опубликовано: 14th September 2009 Культурология: Учебник для вузов СКАЧАТЬ http://bit.ly/1cg0OKu Природа любви, Вадим Розин, Рина Шапинская, 1993, Love, 173 страниц.. Семиотические исследования, В. М Розин, 2001, Literary Criticism, 251 страниц.. История мировой культуры: учебное пособие, Volume 2 учебное пособие, Евгений Алексеевич Соловьев, 2007, History, 347 страниц.. Личность и ее...»

«НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СЕВЕРО-КАВКАЗСКИЙ СОЦИАЛЬНЫЙ ИНСТИТУТ Утверждаю Первый проректор Ю.Е. Леденева 20 г. РАБОЧАЯ ПРОГРАММА по дисциплине Психология и педагогика высшей школы по специальности 12.00.01 Теория и история права и государства; история учений о праве и государстве Форма обучения очная/заочная канд.психол.наук, доц.кафедры СГД Согласована Е.Е. Рукавишникова зав. кафедрой СГД _Е.Е.Рукавишникова Рекомендована на заседании...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ УЧРЕЖДЕНИЕ ОБРАЗОВАНИЯ ПОЛОЦКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ КАФЕДРА ЛОГИСТИКИ И МЕНЕДЖМЕНТА МЕТОДИЧЕСКИЕ УКАЗАНИЯ по выполнению дипломной работы для студентов специальности 1-26 02 05 - Логистика Новополоцк 2013 1 УДК ББК Одобрены и рекомендованы к изданию методической комиссией финансовоэкономического факультета (протокол № от _ _ 20г.) Кафедра логистики и менеджмента Составители: Банзекуливахо Мухизи Жан, кандидат технических наук, доцент кафедры...»

«2 Содержание ВВЕДЕНИЕ. ОБЩАЯ ХАРАКТЕРИСТИКА БИРСКОГО ФИЛИАЛА ФГБОУ ВПО БАШКИРСКИЙ ГОСУНИВЕРСИТЕТ 1 1. СТРУКТУРА ПОДГОТОВКИ СПЕЦИАЛИСТОВ. 6 1.1.Общие сведения по УГС 050000 – Образование и педагогика в Бф БашГУ 6 1.2. Сведения по специальностям УГС 050000 – Образование и педагогика 8 2.ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ОБРАЗОВАТЕЛЬНОЙ ДЕЯТЕЛЬНОСТИ 14 3.СОДЕРЖАНИЕ ПОДГОТОВКИ СПЕЦИАЛИСТОВ 17 3.1.Учебный план 3.2.Учебные программы дисциплин и практик, диагностические средства 3.3.Программы и...»

«ЗАДАНИЕ НА ПРОЕКТИРОВАНИЕ 1.5/33-10/304 от 25.12.2012г. Реконструкция ПС 35/10 кВ Пушкино, строительство ВЛ-10 кВ, ТП-10/0,4 кВ, ВЛИ-0,4 кВ 1. Основание для проектирования. 1.1. Договор об осуществлении технологического присоединения заключенный с ООО Строительная Компания ДОМ от 30.11.2012г. №20.55.5888.12 1.2. Акт обследования технического состояния оборудования, зданий и сооружений, строительных конструкций, инженерных коммуникаций и т.д. ПС 35/10 кВ Пушкино, участвующая в технологическом...»

«Государственное образовательное учреждение высшего профессионального образования Курский государственный медицинский университет Федерального агентства по здравоохранению и социальному развитию Повышение качества образовательного процесса в университете Сборник материалов научно-методической конференции (5-6 февраля 2008 года) Том I Курск – 2008 УДК 37(063) Печатается по решению ББК 74 редакционно-издательского совета ГОУ ВПО КГМУ Росздрава Повышение качества образовательного процесса в...»










 
2014 www.av.disus.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.