\section{Система защиты информации в Российской Федерации} \newrefsection \subsection{Государственная система защиты информации в Российской Федерации} Согласно Закону РФ «Об информации, информационных технологиях и защите информации» от 27 июля 2006 года № 149-ФЗ информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения[2]. Таким образом регулятивную функцию в области информационных правоотношений в РФ выполняет государство. Оно призвано обеспечивать защиту интересов субъектов информационных правоотношений. Ограничения на доступ к информации могут накладываться как государственными органами, так и иными обладателями информации. Чтобы обеспечить баланс интересов граждан в праве на информацию в зависимости от категории доступа информация делится на общедоступную и ограниченно доступную в соответствии с федеральными законами[2]. В зависимости от порядка ее предоставления информация делится на следующие категории: \begin{enumerate} \item свободно распространяемая или общедоступная; \item предоставляемая по соглашению лиц, участвующих в соответствующих отношениях или конфиденциальная; \item подлежащую обязательному предоставлению или распространению, как правило жизненно важная информация (например, законодательство, состояние безопасности окружающей среды); \item ограниченно распространяемая или запрещенная. Это две различных категории информации. В первом случае это потенциально опасная информация (например рецепты изготовления наркотиков). Во втором случае это информация явно опасная для общества или отдельных граждан (детская порнография, заведомо ложная клеветническая информация). \end{enumerate} Причем категорирование информации осуществляется государством или ее обладателем. Установлены законодательные ограничения на отнесение информации к государственной, коммерческой, служебной или иной тайне. Субъектами отнесения информации к виду государственной тайны являются государственные лица и органы. Субъектами отнесения информации к иному виду тайны являются обладатели информации при условии соблюдения действующих ограничений, оговоренных в законодательстве. Существуют законодательно установленные перечни сведений, которые могут являться государственной тайной либо персональными данными, или не могут являться государственной, служебной или коммерческой тайной. Для того, что бы государство могло выполнять возложенные на него обязанности по защите информации в РФ создана система защиты информации. Государственная система защиты информации представляет собой совокупность органов государственной, муниципальной власти органов самоуправления, исполнителей, работающих в различных государственных и негосударственных организациях, используемых ими средств защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях осуществляет ФСТЭК России. Государственная система защиты информации, включает в себя следующие подсистемы: лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации аттестации объектов информатизации по требованиям безопасности информации. Организационную основу системы обеспечения информационной безопасности составляют [1]: \begin{itemize} \item Совет Федерации Федерального Собрания Российской Федерации, \item Государственная Дума Федерального Собрания Российской Федерации, \item Правительство Российской Федерации, \item Совет Безопасности Российской Федерации, \item федеральные органы исполнительной власти, \item Центральный банк Российской Федерации, \item Военно-промышленная комиссия Российской Федерации, \item межведомственные органы, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, \item органы исполнительной власти субъектов Российской Федерации, \item органы местного самоуправления, \item органы судебной власти \end{itemize} Наибольшую роль среди государственных органов, обеспечивающих нормативно"=методическое обеспечение и контроль за соблюдением законодательства в области защиты информации в РФ, играют следующие: \begin{itemize} \item Федеральная служба технического и экспортного контроля (ФСТЭК): конфиденциальная информация (КИ), персональные данные (ПДн), технические средства защиты информации (ТСЗИ); \item Федеральная служба безопасности (ФСБ): контроль за режимом соблюдения ГТ, криптографические средства защиты информации (КСЗИ), специальные проверки (СП); \item Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): контроль за режимом соблюдения безопасности ПДн и общедоступных данных; \item Министерство юстиции: проверка законодательных актов на соответствие установленным нормам; \item Министерство внутренних дел и иные правоприменительные структуры: восстановление нарушенных прав на защиту информации. \item Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации: подготовка конкретных документов по защите информации, планирование на их основе мероприятий, приведение мероприятий в исполнение с использованием специалистов и специальных технических и программных средств в отношении ГТ, ПДн, служебной тайны (СТ). \item Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации: тоже самое, но акцент больше на ГТ. \item Научно-исследовательские организации по проблемам защиты информации: разработка методических рекомендаций по защите информации, выполнение специальных проверок. \item Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации: разработка и производство ЗСИ, режим защиты ГТ. \item Предприятия, оказывающие услуги в области защиты информации: установка наладка, сопровождение работы СЗИ. \item Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации: разработка криптографических стандартов, стандартных обязательных требований по организации защиты информации. \item Органы системы лицензирования деятельности в области защиты информации: выдача разрешений на выполнение работ по защите информации и контроль за соблюдением лицензионных требований. \item Органы системы сертификации средств защиты информации: проверка средств защиты на соответствие требованиям. \item Органы системы аттестации объектов защиты по требованиям безопасности информации: проверка на соответствие требованиям защиты и выдача разрешений на эксплуатацию защищенных информационных систем. \end{itemize} Органы осуществляющие методическую поддержку системы защиты информации, контрольно-проверочные функции называются регуляторами. \subsection{Основные задачи в сфере информационной безопасности} Защита информации на государственном уровне осуществляется путем комплексного решения ряда задач [3]: \begin{itemize} \item Проведение единой технической политики, организация и координация работ по защите информации в военной, экономической, научно-технической и других сферах деятельности. \item Исключение или существенное затруднение добывания информации техническими средствами разведки. \item Принятие правовых актов, регулирующих отношения в области защиты информации \item Организация сил и работ для создания и применения средств защиты информации и контроля их эффективности \item Контроль состояния защиты информации в органах государственной власти и на предприятиях \item Анализ состояния государственной системы, выявление ключевых проблем в области защиты информации \item Определение приоритетных направления государственной системы защиты информации \item Нормативно-методическое и информационное обеспечение работ по защите информации \end{itemize} Законодательные органы и органы, обладающие законодательной инициативной должны получать информацию о состоянии защиты информации в государстве от органов, имеющих функцию контроля в этой области и инициализировать принятие непротиворечивых нормативных актов, способствующих соблюдению баланса интересов граждан, общества и государства. Органы, ответственные за методическую работу и техническую поддержку защиты информации на местах должны разрабатывать соответствующие документы программы и устройства на основе которых функционирует организационное и техническое обеспечение защиты информации на местах. Органы лицензирования и сертификации должны разработать и осуществить систему мер позволяющую обеспечить допуск к работе только тех организаций и использованию только таких средств обработки и защиты информации, которые позволяют обеспечить требуемый уровень защиты информации. Главным результатом деятельности этой системы должна стать налаженная и согласованная работа по защите информации на предприятиях и в организациях. Для этого на предприятиях должна быть проделана следующая работа: \begin{itemize} \item Осуществлено планирование мероприятий по защите информации. \item Выполнено категорирование информации и определена потребность в защите информации. \item Определена требуемая степень защиты информации. \item Определены объекты, где эта информация может содержаться. \item Создано подразделение и назначено лицо, ответственное за защиту информации \item Приобретены СЗИ (в случае необходимости сертифицированные по требованиям безопасности) \item СЗИ должны быть установлены и запущены в эксплуатацию (принеобходимости привлекаются лица, имеющие лицензии на работы по защите информации) \item Постоянно осуществляться контроль за состоянием СЗИ, их целостностью и за сохранением качеств защищаемой информации и режимом соблюдения тайны. Все случаи нарушения режима безопасности должны фиксироваться и расследоваться и по результатам расследования приниматься меры по недопущению таких инцидентов в будущем. \item Периодически анализироваться текущее состояние безопасности информации в купе с прогнозом этого состояния на будущее и по результатам приниматься превентивные меры по устранению прогнозируемых угроз. \end{itemize} Наиболее надежным организационным способом проверки результатов данной работы является аттестация объектов информатизации по требованиям безопасности. Аттестация может быть добровольной (для конфиденциальной информации не затрагивающей непосредственно интересов государства) и обязательной (государственная, служебная тайна, ПДн специальных категорий). Непосредственная защита информации на предприятиях осуществляется путем предотвращения неправомерного доступа к информации по каналам утечки информации. Для этого необходимо решение следующих задач: \begin{itemize} \item предотвращение перехвата техническими средствами информации, передаваемой по каналам связи; \item предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электроакустических преобразований; \item исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; \item предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; \item выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств); \item предотвращения перехвата техническими средствами речевой информации из помещений и объектов. \end{itemize} Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий. Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами. Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями. Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусных процессоров, антивирусных программ), организацией системы контроля безопасности программного обеспечения. Выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по выявлению этих устройств. Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями. \subsection{Основные направления в разработке мер обеспечения информационной безопасности} Меры защиты информации делятся на правовые, организационные и технические [2]. К правовым мерам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются: \begin{itemize} \item внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в законодательстве на различных уровнях; \item законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между органами общественной жизнью государства; \item разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; \item уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; \item законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; \item определение статуса организаций, предоставляющих услуги глобальных информационно - телекоммуникационных сетей на территории РФ, и правовое регулирование деятельности этих организаций; \item создание правовой базы для формирования в РФ региональных структур обеспечения информационной безопасности. \end{itemize} Реализованные правовые меры образуют законодательные основы защиты информации. Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Основные направления в этой области: \begin{itemize} \item создание и совершенствование системы обеспечения информационной безопасности РФ; \item усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; \item поддержание системы сертификации средств обработки, хранения, передачи и защиты информации, лицензирования деятельности в области защиты государственной тайны, конфиденциальной информации и персональных данных, стандартизации способов и средств защиты информации; \item контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ; \item формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства. \end{itemize} Техническими мерами защиты являются решения и приемы, основанные на использовании дублировании информации или ограничении возможности действий сотрудников и направленные на уменьшение возможности совершения ими ошибок и нарушений в рамках предоставленных им прав и полномочий, а также использование различных технических устройств и программ, дополняющих информационные системы функциями защиты. Основные направления в этой области: \begin{itemize} \item разработка, использование и совершенствование средств защиты информации и механизмов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; \item создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; \item создание средств выявления технических устройств и программ, представляющих опасность для нормального функционирования информационно - телекоммуникационных систем, предотвращения перехвата информации по техническим каналам, применения криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроля за выполнением специальных требований по защите информации. \end{itemize} В большинстве нормативных актов, направленных на защиту информации, а так же аналогичного назначения методических документах подчеркивается, что защита информации не может быть эффективной, если не используются все три вида мер. Только комплексное использование всех этих видов мер образуют полноценную систему защиты информации на предприятии или в организации. Законодательные акты и методические документы регуляторов позволяют разрабатывать организационно-распорядительные документы, направленные на защиту информации на предприятиях и в организациях. Организационно-распорядительная документация инициирует назначение ответственных за информационную безопасность (ИБ) сотрудников и разработку и применение организационных мер. Организационные меры обеспечивают исполнение существующих нормативных актов. Для эффективного применения организационные меры должны быть поддержаны техническими средствами защиты информации. При этом выделяют такую специфическую категорию мер как физические меры защиты, которые строятся на определенного вида деятельности сотрудников, использующих специфические технические средства, не относящие к классу сложных устройств. \printbibliography