Глава 7. Информационная безопасность в электронной коммерции
В последнее время в мире бурно развивается электронная коммерция или торговля по сети Интернет, осуществляемая при непосредственном участии кредитно-финансовых организаций. Этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
По мнению ведущих специалистов, развитие процесса электронной коммерции в основном определяется прогрессом в области безопасности информации. В этой главе мы рассмотрим некоторые основные моменты обеспечения информационной безопасности в электронной коммерции.
7.1. Электронная коммерция сегодня
Следует сразу отметить, что электронная коммерция— явление далеко не новое и начало свое оно берет в 60-х годах. В течение всех этих лет бизнес пользовался системами электронного обмена данными (Electronic Data Interchange EDI) для размещения заказов и их оплаты поставщикам. Однако при этом не использовались так называемые сети общего доступа, поскольку их просто не было.
Что же сегодня имеют в виду, когда говорят об электронной коммерции, е-Commerce, iCommerce, и т.д.? Эксперты определяют электронную коммерцию как торговлю товарами и услугами, при которой окончательный заказ размещается через Интернет. Другими словами, электронная коммерция — это заключение сделок в электронной форме, а Интернет-торговля — только оплата покупок через Интернет, то есть незначительная часть той же электронной коммерции. Таким образом, хотя электронную коммерцию часто путают с Интернет-торговлей, первое из этих понятий — более широкое.
Основными моделями глобальной электронной коммерции являются торговые отношения между предприятиями (B2B — business-to-business) и между предприятием и покупателем (B2C — business-to-customer).
Объем мирового оборота электронной коммерции через Интернет в 2003 году, по прогнозам компании Forrester Tech., будет составлять от 1,8 триллиона до 3,2 триллиона долларов [7.1]. Предполагается, что верхняя граница этого диапазона будет достигнута при обеспечении надлежащей безопасности процессов покупки и продажи через Интернет. Если безопасность электронной коммерции сохранится на сегодняшнем уровне, предполагается, что мировой оборот достигнет нижней из указанных отметок. Таким образом, именно проблемы безопасности являются самым серьезным препятствием на пути развития электронной коммерции и бизнеса.
Электронная коммерция объединяет множество различных функций. Она использует новые технологии для изменения способов организации контакта покупателей и продавцов, методов представления, обсуждения и изменения заказа, продажи товаров и услуг, а также процесса осуществления платежей.
Сегодня на рынке уже представлено достаточно большое число готовых программных решений для организации электронных торговых цепочек. В качестве примера можно привести такие продукты, как Net.Commerce компании IBM, Internet Commerce Server 1.1 (или ICS) корпорации Oracle, Site Server корпорации Microsoft, Domino Merchant 2.0 корпорации Lotus Development, i.Sell компании Informix, eStore компании PeopleSoft, Business-to-Business Procurement Release 2.0 компании SAP AG, CommerceXpert корпорации Netscape Communications, LiveCommerce фирмы OpenMarket, и др. Рынок таких программ довольно разнообразен. Подобные «готовые магазины» дополняются заказными программными системами повышенной гибкости в использовании, с широкими возможностями удовлетворения специфических требований компаний и высоким уровнем интеграции с бизнес-процессами.
В России электронная коммерция тоже развивается сравнительно быстрыми темпами, хотя и сдерживается недостаточно развитой инфокоммуникационной структурой. Российские компании, которые только начинают работать на этом рынке, очень уязвимы для злоумышленников. Постоянно обостряющаяся борьба среди конкурентов иногда вынуждает их выходить на рынок практически неподготовленными с точки зрения безопасности. И только когда на Internet-магазин совершается виртуальное нападение, руководство компаний начинает задумываться о защите своих ресурсов.
На отечественном рынке предлагается ряд программно-технических решений для реализации систем электронной коммерции и электронной торговли в секторах В2В и В2С. Ниже мы рассмотрим некоторые из механизмов безопасности, которые в них используются. Однако в начале стоит остановиться на общих проблемах информационной безопасности в электронной коммерции.
7.2. Проблемы безопасности электронной коммерции
Когда речь заходит о безопасности электронной коммерции, о чем сразу вспоминает потенциальный потребитель?. 0 доверии при совершении электронных сделок. Однако, если вглядеться поглубже в проблематику обеспечения информационной безопасности при электронном ведении бизнеса, она намного шире. Доверие к транзакциям — это только верхушка айсберга, которая видна пользователю.
Рассмотрим наиболее типичный пример электронной торговли — приобретение продуктов и услуг через Интернет. Этот процесс может быть описан 7 шагами:
• Заказчик выбирает продукт или услугу через Web-сервер электронного магазина и оформляет соответствующий заказ.
• Заказ заносится в базу данных заказов магазина.
• Проверяется доступность заказанного продукта или услуги через центральную базу данных.
• Если продукт не доступен, то заказчик получает об этом уведомление и процесс приобретения продукта или услуги завершается. В зависимости от реализации магазина, запрос на продукт может быть (с разрешения заказчика) перенаправлен на другой склад (например, в другом городе).
• При наличии продукта или услуги заказчик подтверждает оплату, и заказ помещается в соответствующую базу данных. Электронный магазин посылает заказчику подтверждение заказа. В большинстве случаев (особенно у начинающих компаний) существует единая база данных для заказов, проверки наличия товаров и т.д.
• Клиент в режиме online оплачивает заказ.
• Товар доставляется заказчику.
По мнению обычного пользователя, основная проблема с обеспечением безопасности возникает на 6-м этапе, когда через Интернет передается номер кредитной карты и сопутствующая информация. Однако компания, реализующая услуги электронного магазина, начинает встречаться с вопросами, связанными с безопасностью, уже на первом этапе. И эти вопросы ее преследуют на всем протяжении осуществления электронной сделки.
Перечислим основные угрозы, которые подстерегают ведущую электронную торговлю компанию:
• Подмена страницы Web-сервера электронного магазина. Основной способ реализации этой угрозы— переадресация запросов пользователя на другой сервер. Наибольшей опасности данная угроза достигает на шестом этапе, когда заказчик вводит номер своей кредитной карты.
• Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет как внешним, так и внутренним злоумышленникам осуществлять различные несанкционированные манипуляции с базой данных. Отметим, что по статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками.
• Перехват данных, передаваемых в системе электронной коммерции, Особую опасность представляет собой перехват информации о кредитной карте заказчика.
• Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина.
• Реализация атак типа «отказ в обслуживании» и нарушение функционирования или выведение из строя узла электронной коммерции.
В результате всех этих угроз компания — провайдер электронных сделок — теряет доверие клиентов, теряет деньги от потенциальных, но несовершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа «отказ в обслуживании» может быть нарушено функционирование электронного магазина, на восстановление работоспособности которого будут затрачены как человеческие и временные, так и материальные ресурсы на замену вышедшего из строя оборудования.
Третья описанная угроза (перехват данных) не зависит от используемого программного и аппаратного обеспечения и присуща любым системам электронной коммерции, функционирующим в Интернет.
Обратимся к другим угрозам. Их можно разделить на две категории. Первая связана с нарушением доступности узлов электронной коммерции. Вторая — с неправильной конфигурацией и настройкой программного и аппаратного обеспечения электронного магазина.
Обеспечению доступности серверов электронной коммерции сейчас уделяется особое внимание, особенно после известных случаев выведения из строя известных серверов в начале февраля 2000 года. 7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo (http:/ www.yahoo.com ), еВау (http:/ www.ebay.com ), Amazon (http:/ www.amazon.com), Buy (http:/ www.buy.com и CNN (http:/www.cnn.com ). 9 февраля аналогичная участь постигла серверы ZDNet (http:/ www.zdnet.com ), Datek (http:/ www.datek.com ) и E*Trade (http:/ www.etrade.com ). Проведенное ФБР расследование показало, что указанные серверы вышли из строя из-за огромного числа направленных им запросов, это и привело к тому, что эти серверы не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза и в 8 раз превысил максимально допустимую нагрузку на серверы, поддерживающие работоспособность Buy и достиг отметки в 800 Мбит/сек. По разным оценкам нанесенный ущерб достиг цифры в полтора миллиарда долларов [7.2].
Этот пример лишний раз подтверждает тезис о необходимости построения комплексной системы защиты, эффективно работающей на всех рассмотренных выше уровнях. Однако, как показывает опыт, основное внимание часто уделяется только нижним двум уровням — уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС— встроенные средства разграничения доступа. Сегодня этих средств явно недостаточно.
Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных электронного магазина. Сделать это сравнительно несложно. Можно просто перехватить их в процессе передачи по сети или подобрать при помощи специальных программ, о которых мы уже говорили. В результате и межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам, потому что им были предъявлены идентификатор и пароль авторизованного пользователя. И это не недостаток реализованных механизмов, а просто объективная особенность их функционирования.
Для поиска решений этих проблем был создан независимый консорциум — Internet Security Task Force (ISTF)— общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронных бизнесов и провайдеров Интернет инфраструктуры. Среди членов консорциума— такие лидеры рынка поставщиков электронной инфраструктуры, как Cisco Systems, eToys, Sabre, Travelocity, Verio и СА. Консорциум был создан специально для разработки технических, организационных и операционных руководств по безопасности Интернет, нацеленных на предотвращение атак хакеров.
Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Список, в частности, включает следующие пункты:
• аутентификация (механизм объективного подтверждения идентифицирующей информации);
• право на частную, персональную информацию;
• определение событий безопасности (Security Events);
• защита корпоративного периметра;
• определение атак;
• контроль за потенциально опасным содержимым (Malicious Content);
• контроль доступа;
• администрирование;
• реакция на события (Incident Response).
Рекомендации ISTF предназначены для существующих или вновь образуемых компаний электронной коммерции и бизнеса. Рекомендации помогают определить потенциальные бреши и дыры в их компьютерных сетях, которые, если не обратить на них должного внимания, могут использоваться взломщиками-хакерами. Это может привести к атакам на систему электронной коммерции, потрясениям и даже к потенциальному крушению электронного бизнеса! Консорциум ISTF настоятельно рекомендует воспользоваться его наработками еще до начала организации электронной коммерции и бизнеса.
Начальный набор рекомендаций включает обстоятельства, часто незаметные, но легко обнаруживаемые в большинстве систем, развертываемых сегодня в Интернет. Среди них, в частности, требование не использовать значения, задаваемые по умолчанию» во время установки и настройки приложений, поскольку это ведет к тому, что:
• установленные по умолчанию имена пользователей и пароли становятся широко известными;
• отсутствует защита от несанкционированного вторжения хакеров во внутреннюю и внешнюю сеть;
• отсутствует возможность организации аудита после проведения изменений в среде электронного бизнеса таких, например, как установка новых приложений и компьютеров;
• как правило, мы имеем дело с непрофессиональным и слабым администрированием, приводящим к не полному уничтожению устаревших имен пользователей и пр.
В электронном бизнесе информационная безопасность и защита являются критичными для непрерывности бизнеса как такового. Безопасность больше не является дополнительным свойством: ведь даже 97-процентная надежность системы означает, что за год для бизнеса будут потеряны 293 часа!
Что является камнем преткновения для информационной безопасности в электронной коммерции? Как ни странно, в этой роли выступают некоторые ее основополагающие принципы:
• Сложность приложений. Логически «разгружая» клиентскую рабочую станцию, упрощая и унифицируя пользовательский интерфейс, разработчики все более усложняют приложения на сервере, а также и окружающую среду эксплуатации.
• Интеграция с существующими приложениями или другими системами. Как показывает статистика, каждая большая организация, фирма, корпорация поддерживает в среднем шесть операционных сред и более 150 различных приложений на рабочих станциях пользователей.
В целом комплексные системы информационной безопасности электронной коммерции должны включать следующие основные функциональные компоненты:
• коммуникационные протоколы;
• средства криптографии;
• механизмы авторизации и аутентификации;
• средства контроля доступа к рабочим местам сети и из сетей общего пользования;
• антивирусные комплексы;
• программы обнаружения атак и аудита;
• средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым сетям.
Необходимо отметить, что далеко не всегда все эти механизмы встраиваются поставщиками в готовые приложения для электронной коммерции. Зачастую главную работу по созданию информационной защиты и безопасности электронной коммерции и бизнеса должны взять на себя именно специалисты по информационной безопасности— системные интеграторы в этой области. Без их участия ваша информационная защита всегда будет иметь потенциальные прорехи.
Особенности большинства из перечисленных выше элементов комплексной системы информационной безопасности мы уже коротко рассмотрели в предыдущих главах. Далее мы остановимся на таких важных элементах, как криптографические коммуникационные протоколы и электронная подпись.
7.3. Защищенные протоколы обмена Данными в Интернет
В отличие от локальных сетей, сеть Интернет является так называемой «открытой» системой. Основана на открытых стандартах, и фирмы используют ее для продвижения продукции на мировой рынок. Под открытыми системами понимают совокупность всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных. Термин «открытые» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, соответствующей тем же стандартам. Это, в частности, относится и к криптографической защите информации или к защите от несанкционированного доступа к информации.
В мировом сообществе уже давно существует целый ряд комитетов по стандартизации, куда входят, в основном, организации-добровольцы, которые ведут работы по стандартизации предлагаемых технологий Интернет. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернет (Internet Engineering Task Force — IETF), провели стандартизацию нескольких важных протоколов обмена данными, тем самым ускорив их внедрение. Среди результатов работы IETF такие протоколы, как семейство ТСР/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и РОР (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью. Однако усилия по стандартизации своих решений предпринимает и ряд фирм-разработчиков программно-технических решений для Интернет. В частности это относится и к так называемым протоколам безопасной передачи данных. В этой области на сегодняшний день в Интернет стандартами де-факто стали сравнительно недавно появившиеся протоколы SSL и SET [7.3], о которых мы коротко расскажем ниже.
7.3.1. Протокол SSL
Этот протокол разработан американской компанией Netscape Communications Corp. как средство, обеспечивающее защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (ТСР/IP с помощью современной криптографии.
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде «клиент-сервер» интерпретируются следующим образом:
• при подключении пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, не ограничиваясь паролевой защитой;
• после установления соединения между сервером и клиентом весь информационный поток должен быть защищен от несанкционированного доступа;
• при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия провести проверку подлинности друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двух ключевые (асимметричные) криптосистемы.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов. Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Соде — МАС).
Стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.
В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом. В частности, он обеспечивает следующие специальные требования защиты операций электронной коммерции:
• секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
• сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;
• специальную криптографию с открытым ключом для проведения аутентификации;
• аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;
• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
• аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговый карточной системой (аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца);
• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
• безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET заключается в применении так называемых цифровых сертификатов, которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и MasterCard.
Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат — это определенная последовательность битов, основанных на криптографии с открытым ключом, представляющая собой совокупность персональных данных владельца и открытого ключа его электронной подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.
Цифровые сертификаты предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты также дают уверенность держателю карты и продавцу в том, что их транзакции будут обработаны с таким же высоким уровнем защиты, что и традиционные транзакции. Упрощенно говоря, по своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
7.3.3. Российские стандарты по защите взаимосвязи открытых систем
Среди различных отечественных стандартов по безопасности информационных технологий можно отметить несколько современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):
• ГОСТ Р ИСО 7498-2 — 99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
• ГОСТ Р ИСО/МЭК 9594-8 — 98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.
• ГОСТ Р ИСО/МЭК 9594-9 — 95. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.
К ним можно добавить нормативные документы, посвященные средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем:
• Руководящий документ «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». (Гостехкомиссия России, 1997).
• ГОСТ Р 50739 — 95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
• ГОСТ 28147 — 89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
• ГОСТ Р 34.10 — 94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма.
• ГОСТ Р 34.11 — 94. Информационная технология. Криптографическая защита информации. Функция хэширования.
7.4. Электронная подпись
Применение глобальных коммуникаций в коммерческой деятельности и повседневной жизни привело к появлению принципиально новой области юридических отношений, связанных с электронным обменом данными. В таком обмене участвуют производители товаров и услуг, оптовые и розничные торговцы, дистрибьюторы, перевозчики, банки, страхователи, органы государственной власти и их организации, а также физические лица в своих деловых и личных отношениях. Поэтому здесь необходимы специальные средства, гарантирующие подтверждение подлинности и авторства документа. В настоящее время основным из этих средств служит так называемая электронная подпись.
7.4.1. Что такое электронная подпись?
Идея цифровой подписи, как законного средства подтверждения подлинности и авторства документа в электронной форме, впервые была сформулирована явно в 1976 году в статье двух молодых американских специалистов по вычислительным наукам из Стэнфордского университета Уитфилда Биффи и Мартина Хеллмана.
Суть ее состоит в том, что для гарантированного подтверждения подлинности информации, содержащейся в электронном документе, а также для возможности неопровержимо доказать третьей стороне (партнеру, арбитру, суду и т.п.), что электронный документ был составлен именно конкретным лицом или по его поручению, и именно в том виде, в котором он предъявлен, автору документа предлагается выбрать свое индивидуальное число (называемое обычно индивидуальным ключом, паролем, кодом, и т.д.) и каждый раз для «цифрового подписывания» сворачивать (замешивать) этот свой индивидуальный ключ, хранимый в секрете от всех, с содержимым конкретного электронного документа. Результат такого «сворачивания» — другое число, и может быть назван цифровой подписью данного автора под данным конкретным документом.
Для практического воплощения этой идеи требовалось найти конкретные и конструктивные ответы на следующие вопросы:
• Как «замешивать» содержание документа с индивидуальным ключом пользователя, чтобы они стали неразделимы?
• Как проверять, что содержание подписываемого документа и индивидуальный ключ пользователя были подлинными, не зная заранее ни того, ни другого?
• Как обеспечить возможность многократного использования автором одного и того же индивидуального ключа для цифрового подписывания большого числа электронных документов?
• Как гарантировать невозможность восстановления индивидуального ключа пользователя по любому количеству подписанных с его помощью электронных документов?
• Как гарантировать, что положительный результат проверки подлинности цифровой подписи и содержимого электронного документа будет в том и только в том случае, когда подписывался именно данный документ и именно с помощью данного индивидуального ключа?
• Как обеспечить юридическую полноправность электронного документа с цифровыми подписями, существующего только в электронном виде без бумажного дубликата или заменителей?
Для полноценных удовлетворительных ответов на все эти вопросы потребовалось около 20 лет. Сейчас можно точно и определенно сказать, что практические ответы на все эти вопросы получены. Сегодня имеется целый арсенал программно-технических средств авторизации электронных документов с помощью цифровой подписи.
На сегодняшний день ответ на вопрос: «Что такое ЭЦП?» — можно ответить так:
ЭЦП — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Использование ЭЦП является необходимым, но недостаточным элементом обеспечения безопасности электронных сделок (электронной коммерции). С помощью средств ЭЦП обеспечивается аутентификация сторон сделки при обмене сообщениями и проверяется целостность сообщений. Конфиденциальность же содержания сообщений по сделкам достигается с помощью средств шифрования.
Однако сфера применения ЭЦП не ограничивается электронной коммерцией и охватывает также публично правовые отношения (внутри государственного сектора), взаимоотношения с государственными органами и организациями и частноправовые («межличностные») отношения, не связанные с коммерцией.
При использовании ЭЦП возникают новые права и обязанности субъектов правоотношений, для удостоверения подлинности ЭЦП формируется система специальных организаций, права, обязанности и ответственность которых также должны быть законодательно установлены. Нормативным актом, устанавливающим права, обязанности, ответственность субъектов, может быть только закон. Подзаконные акты вправе конкретизировать правовые механизмы им установленные. С учетом таких актов впоследствии и формируется российское законодательство 06 ЭЦП.
7.4.2. Основы алгоритмов цифровой подписи
Одна из самых сложных задач при использовании ЭЦП — обеспечение надлежащей гарантии невозможности восстановления ключа подписывания по ключу проверки и любому количеству подписанных электронных документов.
Основная идея решения этой задачи состоит в той, чтобы использовать такие процедуры подписи и проверки, что практическое восстановление ключей подписи по ключам проверки требует выполнения весьма трудоемких (а, следовательно, и длительных, вычислений).
Практически оказалось, что при всем многообразии известных сложных вычислительных задач, применимой оказалась одна. Это так называемая задача дискретного логарифмирования.
В простейшем варианте ее можно сформулировать так. Если заданы три больших целых положительных числа а, п, х, то располагая даже несложными арифметическими устройствами типа карманного калькулятора или просто карандашом и бумагой, можно довольно быстро вычислить число а**х как результат умножения числа а на себя х раз, а затем и остаток от деления этого числа нацело на п, записываемый как Ь = а**х mod n. Задача дискретного логарифмирования состоит в том, чтобы по заданным числам а, Ь, п, связанным таким соотношением, найти то число х, из которого по этой формуле было вычислено число.
Оказывается, что задача дискретного логарифмирования при правильном выборе исходных чисел настолько сложна, что позволяет надеяться на практическую невозможность восстановления числа х, — индивидуального ключа подписывания, по числу b, применяемому в качестве ключа проверки. Например, если а = 10, а х = 21, то для решения этой задачи известными на сегодня методами потребуется около 30 лет работы 1000 современных суперкомпьютеров.
Среди конкретных алгоритмов, реализующих эту идею, можно упомянуть о следующих основных.
Алгоритм RSA. Это один из первых по времени изобретения алгоритмов цифровой подписи, разработанный в 1977 году в Массачусетском технологическом институте.
По современным оценкам сложность задачи разложения на простые множители при целых числах п из 64 байт составляет порядка 10**17 — 10**18 операций, т.е. находится где-то на грани досягаемости для серьезного «взломщика». Поэтому обычно в системах цифровой подписи на основе алгоритма RSA применяют более длинные целые числа п (обычно от 75 до 128 байт).
Это соответственно приводит к увеличению длины самой цифровой подписи относительно 64-байтного варианта примерно в два раза (в данном случае ее длина совпадает с длиной записи числа n), а также на порядок и более увеличивает время вычислений при подписывания и проверке.
Кроме того, при генерации и вычислении ключей в системе RSA необходимо проверять большое количество довольно сложных дополнительных условий на простые числа р и q (что сделать достаточно трудно и чего обычно не делают, пренебрегая вероятностью неблагоприятного исхода — возможной подделки цифровых подписей), а невыполнение любого из них может сделать возможным фальсификацию подписи со стороны того, кто обнаружит невыполнение хотя бы одного из этих условий (при подписывания важных документов допускать, даже теоретически, такую возможность нежелательно).
Алгоритм EGSA. Существенным шагом вперед в разработке современных алгоритмов цифровой подписи был новый алгоритм Т. Эль-Гамаля, предложенный им в 1984 году. В этом алгоритме целое число n полагается равным специально выбранному большому простому числу р, по модулю которого и производятся все вычисления. Такой выбор позволяет повысить стойкость подписи при ключах из 64 байт примерно в 1000 раз, т.е. при такой длине ключей обеспечивается необходимый нам уровень стойкости порядка 10**21. Правда, при этом длина самой цифровой подписи увеличивается в два раза и составляет 128 байт.
Алгоритм DSA. Национальным институтом стандартов и технологий США в 1991 году на основе алгоритма Зль-Гамаля был разработан и представлен на рассмотрение Конгресса США новый алгоритм цифровой подписи, получивший название DSA (сокращение от Digital Signature Algorithm). Алгоритм DSA имеет по сравнению с алгоритмом RSA целый ряд преимуществ:
• при заданном уровне стойкости цифровой подписи целые числа, с которыми приходится проводить вычисления, имеют запись как минимум на 20% короче, что соответственно уменьшает сложность вычислений не менее, чем на 70% и позволяет заметно сократить объем используемой памяти;
• при выборе параметров достаточно проверить всего три легко проверяемых условия;
• процедура подписывания по этому методу не позволяет вычислять (как это возможно в RSA) цифровые подписи под новыми сообщениями без знания секретного ключа.
Эти преимущества, а также ряд других соображений послужили главным мотивом для принятия в 1994 году национального стандарта цифровой подписи DSS на основе алгоритма DSA.
Алгоритм ГОСТ Р 34.10-94. Введен в действие с 1 января 1995 года. Алгоритмы вычисления и проверки подписи в этом ГОСТе устроены аналогично алгоритму DSA, но предварительная обработка электронных документов перед подписыванием (так называемое хэширование) выполняются по другому, существенно более медленному способу.
7.4.3. Электронная цифровая подпись на практике
Прежде всего нам хотелось бы обратить внимание читателей на ряд отличий традиционной подписи от цифровой:
• Рукописные подписи находятся полностью под контролем подписывающего лица, цифровые же создаются с использованием компьютера и программного обеспечения, которые могут работать, а могут и не работать так, чтобы выполняемым ими действиям можно было доверять.
• Рукописные подписи, в отличие от цифровых, имеют оригинал, который можно копировать.
• Рукописные подписи не слишком тесно связаны с тем, что ими подписывается, содержание подписанных бумаг может быть изменено после подписания. Цифровые подписи сложным образом связаны с конкретным содержимым данных, которые ими подписаны.
• Способность выполнять рукописную подпись не может быть предметом хищения, в отличие от закрытого ключа.
• Рукописные подписи могут копироваться с разной долей сходства, а копии цифровых подписей могут создаваться только путем использования похищенных ключей и имеют при этом стопроцентную идентичность подписи реального владельца ключа.
• И, наконец, некоторые протоколы аутентификации требуют подписи данных цифровой подписью от вашего имени, и при этом вы никогда не узнаете, что именно было подписано. В потенциале вас могут заставить подписывать цифровой подпись практически что угодно.
Вопросы практического использования ЭЦП в России регулируются Законом «Об электронной цифровой подписи», подписанным Президентом РФ 11 января 2002 года и вступившем в силу с 15 января 2002 года. Отметим, что закон об электронной цифровой подписи был принят в США тоже сравнительно недавно — летом 2000 года, после чего аналогичные законы были приняты и ведущими европейскими державами.
Закон «Об электронной цифровой подписи» направлен на обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
В новом законе электронная цифровая подпись определяется как «реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи». Электронная цифровая подпись позволяет идентифицировать владельца сертификата ее ключа, а также установить отсутствие искажения информации в электронном документе.
Чтобы применять ЭЦП, пользователь должен стать владельцем специального сертификата, который выдает удостоверяющий центр. В качестве удостоверяющего центра может выступать организация, которая соответствует определенным требованиям. Перечень этих требований определит Правительство РФ.
Установлено также, что участник информационной системы может быть владельцем одновременно нескольких сертификатов ключей подписей. При этом документ с ЭЦП будет иметь юридическую силу только в рамках тех отношений, которые указаны в сертификате.
7.5. Средства обнаружения атак и анализа защищенности системы
Как уже говорилось выше, для повышения надежности обеспечения информационной безопасности нужно применять новые современные механизмы защиты.
Одним из таких механизмов является обнаружение атак (intrusion detection). Средствам обнаружения атак в настоящий момент уделяется очень много внимания во всем мире. По прогнозам компании IDC объемы продаж этих средств возрастут с 58 миллионов долларов в 1997 году до 977,9 миллионов долларов в 2003 году. Особенность этих средств в том, что они с одинаковой эффективностью функционируют как внутри сети, защищая от внутренних злоумышленников, так и снаружи, защищая от внешних несанкционированных воздействий. В т.ч. эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа «отказ в обслуживании», направленные на нарушение работоспособности электронного магазина. Одним из ярких примеров средств обнаружения атак можно назвать систему RealSecure, разработанную компанией Internet Security Systems, Inc. Согласно упоминавшемуся отчету компании IDC, система RealSecure захватила 52,8% рынка средств обнаружения атак.
Естественно, что лучше заранее предупредить атаку чем предпринимать последующие действия по ее обнаружению, отражению и ликвидации последствий. Поэтому в настоящее время активно развиваются средства анализа защищенности (security assessment systems) или сканеры безопасности (security scanners). Эти средства могут обнаружить и устранить тысячи уязвимых мест на десятках и сотнях узлов, в т.ч. и удаленных на значительные расстояния. И в этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite, содержащим не только названную систему RealSecure, но и три системы поиска уязвимостей, работающих на различных уровнях информационной системы: Internet Scanner, System Scanner и Database Scanner.
Приложение 1. ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
(Утверждена Президентом Российской Федерации 9 сентября 2000 года)
Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина служит основой для: формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфера
1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Национальные интересы Российской Федерации
в информационной сфере и их обеспечение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информация доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
Для достижения этого требуется: развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
В этих целях необходимо:
повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники,
систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
2. Виды угроз информационной безопасности
Российской Федерации
По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики Российской Федерации;
угрозы развитию отечественной индустрии информации, включу индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:
принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;
манипулирование информацией (дезинформация, сокрытие или искажение информации).
Угрозами информационному обеспечению государственной политики Российской Федерации могут являться:
монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.
Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:
противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области информационных технологий;
закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:
противоправные сбор и использование информации; нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам; внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации.
3. Источники угроз информационной безопасности Российской Федерации
Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
обострение международной конкуренции за обладание информационными технологиями и ресурсами;
деятельность международных террористических организаций; увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
недостаточная экономическая мощь государства; снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта
4. Состояние информационной безопасности Российской Федерации
и основные задачи по ее обеспечению
За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации "О государственной тайне", Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.
Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно телекоммуникационной системы специального назначения в интересах органов государственной власти.
Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства.
Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.
Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).
Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.
Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.
Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.
Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.
Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения "информационного оружия" против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании. Недостаточное внимание уделяется развитию средств космической разведки и радиоэлектронной борьбы. Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения таких задач, как:
разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»;
разработка и создание механизмов формирования и реализации государственной информационной политики России;
разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
II. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
5. Общие методы обеспечения информационной безопасности
Российской Федерации
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:
внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
В сфере экономики. Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.
Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:
система государственной статистики;
кредитно-финансовая система; информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Переход к рыночным отношениям в экономике вызвал появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур — производителей и потребителей информации, средств информатизации и защиты информации. Бесконтрольная деятельность этих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в экономической сфере. Аналогичные угрозы возникают при бесконтрольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб.
Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависимости России от иностранных государств.
Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций.
Недостаточность нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за недостоверность или сокрытие сведений об их коммерческой деятельности, о потребительских свойствах производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому подобном, препятствует нормальному функционированию хозяйствующих субъектов. В то же время существенный экономический ущерб хозяйствующим субъектам может быть нанесен вследствие разглашения информации, содержащей коммерческую тайну. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией, несанкционированного доступа к ней. Это касается и федеральных органов исполнительной власти, занятых формированием и распространением информации о внешнеэкономической деятельности Российской Федерации.
Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются:
организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;
разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;
совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
В сфере внутренней политики. Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются:
конституционные права и свободы человека и гражданина; конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации;
открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации.
Наибольшую опасность в сфере внутренней политики представляют следующие угрозы информационной безопасности Российской Федерации:
нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере;
недостаточное правовое регулирование отношений в области прав различных политических сил на использование средств массовой информации для пропаганды своих идей;
распространение дезинформации о политике Российской Федерации, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом;
деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, разжигание социальной, расовой, национальной и религиозной вражды, на распространение этих идей в средствах массовой информации.
Основными мероприятиями в области обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются:
создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации;
активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России.
В сфере внешней политики. К наиболее важным объектам обеспечения информационной безопасности Российской Федерации в сфере внешней политики относятся:
информационные ресурсы федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;
информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, на территориях субъектов Российской Федерации;
информационные ресурсы российских предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной власти, реализующим внешнюю политику Российской Федерации;
блокирование деятельности российских средств массовой информации по разъяснению зарубежной аудитории целей и основных направлений государственной политики Российской Федерации, ее мнения по социально значимым событиям российской и международной жизни.
Из внешних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют:
информационное воздействие иностранных политических, экономических, военных и информационных структур на разработку и реализацию стратегии внешней политики Российской Федерации;
распространение за рубежом дезинформации о внешней политике Российской Федерации;
нарушение прав российских граждан и юридических лиц в информационной сфере за рубежом;
попытки несанкционированного доступа к информации и воздействия на информационные ресурсы, информационную инфраструктуру федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях.
Из внутренних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют:
нарушение установленного порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, реализующих внешнюю политику Российской Федерации, и на подведомственных им предприятиях, в учреждениях и организациях;
информационно-пропагандистская деятельность политических сил, общественных объединений, средств массовой информации и отдельных лиц, искажающая стратегию и тактику внешнеполитической деятельности Российской Федерации;
недостаточная информированность населения о внешнеполитической деятельности Российской Федерации.
Основными мероприятиями по обеспечению информационной безопасности Российской Федерации в сфере внешней политики являются:
разработка основных направлений государственной политики в области совершенствования информационного обеспечения внешнеполитического курса Российской Федерации;
разработка и реализация комплекса мер по усилению информационной безопасности информационной инфраструктуры федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;
создание российским представительствам и организациям за рубежом условий для работы по нейтрализации распространяемой там дезинформации о внешней политике Российской Федерации;
совершенствование информационного обеспечения работы по противодействию нарушениям прав и свобод российских граждан и юридических лиц за рубежом;
совершенствование информационного обеспечения субъектов Российской Федерации по вопросам внешнеполитической деятельности, которые входят в их компетенцию.
В области науки и техники. Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в области науки и техники являются:
результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
научно-технические кадры и система их подготовки; системы управления сложными исследовательскими комплексами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и другими).
К числу основных внешних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести:
стремление развитых иностранных государств получить противоправный доступ к научно-техническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах;
создание льготных условий на российском рынке для иностранной научно-технической продукции и стремление развитых стран в то же время ограничить развитие научно-технического потенциала России (скупка акций передовых предприятий с их последующим перепрофилированием, сохранение экспортно-импортных ограничений и тому подобное);
политику западных стран, направленную на дальнейшее разрушение унаследованного от СССР единого научно-технического пространства государств — участников Содружества Независимых Государств за счет переориентации на западные страны их научно технических связей, а также отдельных, наиболее перспективных научных коллективов;
активизацию деятельности иностранных государственных и коммерческих предприятий, учреждений и организаций в области промышленного шпионажа с привлечением к ней разведывательных и специальных служб.
К числу основных внутренних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести:
сохраняющуюся сложную экономическую ситуацию в России, ведущую к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники, передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;
серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.
Реальный путь противодействия угрозам информационной безопасности Российской Федерации в области науки и техники — это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники, включая общественные научные советы и организации независимой экспертизы, вырабатывающие рекомендации для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по предотвращению противоправного или неэффективного использования интеллектуального потенциала России.
В сфере духовной жизни. Обеспечение информационной безопасности Российской Федерации в сфере духовной жизни имеет целью защиту конституционных прав и свобод человека и гражданина, связанных с развитием, формированием и поведением личности, свободой массового информирования, использования культурного, духовно-нравственного наследия, исторических традиций и норм общественной жизни, с сохранением культурного достояния всех народов России, реализацией конституционных ограничений прав и свобод человека и гражданина в интересах сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, здоровья граждан, культурного и научного потенциала Российской Федерации, обеспечения обороноспособности и безопасности государства.
К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся:
достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания;
свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств — участников Содружества Независимых Государств;
языки, нравственные ценности и культурное наследие народов и народностей Российской Федерации;
объекты интеллектуальной собственности. Наибольшую опасность в сфере духовной жизни представляют следующие угрозы информационной безопасности Российской Федерации:
деформация системы массового информирования как за счет монополизации средств массовой информации, так и за счет неконтролируемого расширения сектора зарубежных средств массовой информации в отечественном информационном пространстве;
ухудшение состояния и постепенный упадок объектов российского культурного наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры, ввиду недостаточного финансирования соответствующих программ и мероприятий;
возможность нарушения общественной стабильности, нанесение вреда здоровью и жизни граждан вследствие деятельности религиозных объединений, проповедующих религиозный фундаментализм, а также тоталитарных религиозных сект;
использование зарубежными специальными службами средств массовой информации, действующих на территории Российской Федерации, для нанесения ущерба обороноспособности страны и безопасности государства, распространения дезинформации;
неспособность современного гражданского общества России обеспечить формирование у подрастающего поколения и поддержание в обществе общественно необходимых нравственных ценностей, патриотизма и гражданской ответственности за судьбу страны.
Основными направлениями обеспечения информационной безопасности Российской Федерации в сфере духовной жизни являются:
развитие в России основ гражданского общества; создание социально-экономических условий для осуществления творческой деятельности и функционирования учреждений культуры;
выработка цивилизованных форм и способов общественного контроля за формированием в обществе духовных ценностей, отвечающих национальным интересам страны, воспитанием патриотизма и гражданской ответственности за ее судьбу;
совершенствование законодательства Российской Федерации, регулирующего отношения в области конституционных ограничений прав и свобод человека и гражданина;
государственная поддержка мероприятий по сохранению и возрождению культурного наследия народов и народностей Российской Федерации;
формирование правовых и организационных механизмов обеспечения конституционных прав и свобод граждан, повышения их правовой культуры в интересах противодействия сознательному или непреднамеренному нарушению этих конституционных прав и свобод в сфере духовной жизни;
разработка действенных организационно-правовых механизмов доступа средств массовой информации и граждан к открытой информации о деятельности федеральных органов государственной власти и общественных объединений, обеспечение достоверности сведений о социально значимых событиях общественной жизни, распространяемых через средства массовой информации;
разработка специальных правовых и организационных механизмов недопущения противоправных информационно-психологических воздействий на массовое сознание общества, неконтролируемой коммерциализации культуры и науки, а также обеспечивающих сохранение культурных и исторических ценностей народов и народностей Российской Федерации, рациональное использование накопленных обществом информационных ресурсов, составляющих национальное достояние;
введение запрета на использование эфирного времени в электронных средствах массовой информации для проката программ, пропагандирующих насилие и жестокость, антиобщественное поведение;
противодействие негативному влиянию иностранных религиозных организаций и миссионеров.
В общегосударственных информационных и телекоммуникационных системах. Основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;
средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.
Основными угрозами информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных и телекоммуникационных систем;
вынужденное в силу объективного отставания отечественной промышленности использование при создании и развитии информационных и телекоммуникационных систем импортных программно-аппаратных средств;
нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;
привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств;
исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;
предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные;
обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем классов защищенности;
выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
лицензирование деятельности организаций в области защиты информации;
аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
В сфере обороны. К объектам обеспечения информационной безопасности Российской Федерации в сфере обороны относятся:
информационная инфраструктура центральных органов военного управления и органов военного управления видов Вооруженных Сил Российской Федерации и родов войск, объединений, соединений, воинских частей и организаций, входящих в Вооруженные Силы Российской Федерации, научно-исследовательских учреждений Министерства обороны Российской Федерации;
информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;
программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, вооружения и военной' техники, оснащенных средствами информатизации;
информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов.
Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности Российской Федерации в сфере обороны, являются:
все виды разведывательной деятельности зарубежных государств; информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников;
диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия;
деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.
Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются:
нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса;
преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения;
ненадежное функционирование информационных и телекоммуникационных систем специального назначения;
возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных Сил Российской Федерации и их боеготовность;
нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов;
нерешенность вопросов социальной защиты военнослужащих и членов их семей.
Перечисленные внутренние угрозы будут представлять особую опасность в условиях обострения военно-политической обстановки.
Главными специфическими направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации в сфере обороны являются:
систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности в сфере обороны и определение соответствующих практических задач;
проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники;
постоянное совершенствование средств защиты информации от несанкционированного доступа, развитие защищенных систем связи и управления войсками и оружием, повышение надежности специального программного обеспечения;
совершенствование структуры функциональных органов системы обеспечения информационной безопасности в сфере обороны и координация их взаимодействия;
совершенствование приемов и способов стратегической и оперативной маскировки, разведки и радиоэлектронной борьбы, методов и средств активного противодействия информационно-пропагандистским и психологическим операциям вероятного противника;
подготовка специалистов в области обеспечения информационной безопасности в сфере обороны.
В правоохранительной и судебной сферах. К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:
информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;
информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).
Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности в правоохранительной и судебной сферах, являются:
разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации специальных подразделений и органов внутренних дел Российской Федерации;
деятельность иностранных государственных и частных коммерческих структур, стремящихся получить несанкционированный доступ к информационным ресурсам правоохранительных и судебных органов.
Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются:
нарушение установленного регламента сбора, обработки, хранения и передачи информации, содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений;
недостаточность законодательного и нормативного регулирования информационного обмена в правоохранительной и судебной сферах;
отсутствие единой методологии сбора, обработки и хранения информации оперативно-розыскного, справочного, криминалистического и статистического характера;
отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
преднамеренные действия, а также ошибки персонала, непосредственно занятого формированием и ведением картотек и автоматизированных банков данных.
Наряду с широко используемыми общими методами и средствами защиты информации применяются также специфические методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах.
Главными из них являются: создание защищенной многоуровневой системы интегрированных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем;
повышение уровня профессиональной и специальной подготовки пользователей информационных систем.
В условиях чрезвычайных ситуаций. Наиболее уязвимыми объектами обеспечения информационной безопасности Российской Федерации в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций.
Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут привести как к человеческим жертвам, так и к возникновению разного рода сложностей при ликвидации последствий чрезвычайной ситуации, связанных с особенностями информационного воздействия в экстремальных условиях: к приведению в движение больших масс людей, испытывающих психический стресс;
к быстрому возникновению и распространению среди них паники и беспорядков на основе слухов, ложной или недостоверной информации.
К специфическим для данных условий направлениям обеспечения информационной безопасности относятся:
разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций;
совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, об условиях их возникновения и развития;
повышение надежности систем обработки и передачи информации, обеспечивающих деятельность федеральных органов исполнительной власти;
прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций;
разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.
7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности — неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Российскую Федерацию.
Особенность международного сотрудничества Российской Федерации в области обеспечения информационной безопасности состоит в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках в условиях продолжения попыток создания структуры международных отношений, основанной на односторонних решениях ключевых проблем мировой политики, противодействия укреплению роли России как одного из влиятельных центров формирующегося многополярного мира, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для здания «информационного оружия». Все это может привести к новому этапу развертывания гонки вооружений в информационной сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в Россию иностранных разведок, в том числе с использованием глобальной информационной инфраструктуры.
Основными направлениями международного сотрудничества Российской Федерации в области обеспечения информационной безопасности являются:
запрещение разработки, распространения и применения «информационного оружия»;
обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным каналам и каналам связи;
координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений;
предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.
При осуществлении международного сотрудничества Российской Федерации в области обеспечения информационной безопасности особое внимание должно уделяться проблемам взаимодействия с государствами — участниками Содружества Независимых Государств.
Для осуществления этого сотрудничества по указанным основным направлениям необходимо обеспечить активное участие России во всех международных организациях, осуществляющих деятельность в области информационной безопасности, в том числе в сфере стандартизации и сертификации средств информатизации и защиты информации.
III. ОСНОВНЫЕ ПОЛОЖЕНИЯ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ЕЕ РЕАЛИЗАЦИИ
8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.
Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах:
соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.
Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:
проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.
Это предполагает: оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;
создание организационно-правовых механизмов обеспечения информационной безопасности;
определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере;
создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления;
разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий;
разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе;
совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.
Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом. В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.
9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:
разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационнотелекоммуникационных систем оборонного назначения;
развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.
IV. ОРГАНИЗАЦИОННАЯ ОСНОВА СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
10.Основные функции системы обеспечения
информационной безопасности Российской Федерации
Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;
осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.
11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны.
Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.
Основными элементами организационной основы системы обеспечения информационной безопасности Российской Федерации являются:
Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации.
Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.
Палаты Федерального Собрания Российской Федерации на основе Конституции Российской Федерации по представлению Президента Российской Федерации и Правительства Российской Федерации формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.
Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента Российской Федерации Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.
Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности Российской Федерации, а также предложения по уточнению отдельных положений настоящей Доктрины, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента Российской Федерации в этой области.
Федеральные органы исполнительной власти обеспечивают исполнение законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации.
Межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации.
Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации.
Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности Российской Федерации.
Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации.
В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.
Реализация первоочередных мероприятий по обеспечению информационной безопасности Российской Федерации, перечисленных в настоящей Доктрине, предполагает разработку соответствующей федеральной программы. Конкретизация некоторых положений настоящей Доктрины применительно к отдельным сферам деятельности общества и государства может быть осуществлена в соответствующих документах, утверждаемых Президентом Российской Федерации.
Приложение 2 ГЛОССАРИЙТЕРМИНОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Приведенный ниже глоссарий не претендует на исчерпывающую полноту и содержит лишь ту часть терминологии, которая, с точки зрения авторов, представляет интерес для основного круга читателей, которым предназначена книга. В основу состава терминов положены понятия, определенные ГОСТ Р 50922 — 9б и руководящими документами Гостехкомиссии России.
Авторизация — определение типов действий, разрешенных конкретному пользователю в соответствии с его полномочиями.
Анализ уязвимости — проверка информационной системы или ее продукции для выявления скрытых дефектов системы безопасности.
Активная атака — форма воздействия на информационную систему, в результате которого изменяются или уничтожаются хранимые или обрабатываемые в ней данные или другие ее элементы.
Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Безопасность информации — состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Взламывание пароля — способ скрытого получения доступа к информационной системе или сети, основанный на подборе или краже пароля. Подбор пароля злоумышленником облегчается, если пользователь в качестве пароля выбирает некоторые легко определяемые личные данные (например, имена детей, девичью фамилию жены, год рождения и т.д.), а также обще употребимые слова или выражения. В последнем случае пароль может подбираться злоумышленником автоматически с помощью электронных словарей.
Вирус программный — обобщенный термин, определяющий скрытый внутри программы фрагмент программного кода, предназначенный для деструктивного воздействия на данные или программное обеспечение информационной системы. Вирус активируется при запуске программы, в которую он внедрен, после чего может либо скопировать себя в другую программу, либо выполнить действия по искажению данных или нарушению работоспособности системы. Деструктивные воздействия вирусов лежат в самом широком диапазоне — от безобидных надписей или рисунков на экране до полного уничтожения данных и нарушения работоспособности системы.
Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств, и/или ее обработки (копирование, модификация, уничтожение и др.).
Доступность — характеристика информации, определяющая возможность ее получения пользователем информационной системы.
Закладка — специальный программный или аппаратный механизм, встраиваемый в систему производителем с целью обеспечения доступа лиц, чьи интересы он обеспечивает, к информационным ресурсам и настройкам системы в обход средств безопасности системы. Синонимы: люк, задняя дверь, черный ход.
Защита информации — деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Зашита информации от непреднамеренного воздействия — деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя, сбоя технических и программных средин информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного воздействия— деятельность по предотвращению воздействия на защищаемую информации с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного доступа — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Примечание: заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации.
Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Является одним из условий разрешения доступа к ресурсам системы.
Информационная атака — попытка предпринять несанкционированные системой действия в обход или с разрушением средств защиты.
Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информация конфиденциальная — сведения ограниченного доступа, не отнесенные к государственной тайне. К конфиденциальной информации, в частности, относятся сведения, составляющие служебную и коммерческую тайны, личную и семейную тайну.
Информация ограниченного доступа — сведения, доступ к которым ограничен в законодательном порядке. В составе такой информации различают сведения, составляющие государственную тайну и конфиденциальную информацию.
Категорирование защищаемой информации (объекта защиты)— установление градаций важности защиты защищаемой информации (объекта защиты).
Класс защищенности средств вычислительной техники, автоматизированной системы — определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.
Комплекс средств защиты — совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Компьютерное преступление — преднамеренная или иная неправомочная деятельность с использованием компьютерных средств, воздействующая на доступность, целостность и конфиденциальность информационных ресурсов. Может включать злонамеренное повреждение, неправомочное использование, мошенничество и др. виды
Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Криптозащита — обобщенный термин для обозначения защиты информации методом шифрования.
Межсетевой экран — набор связанных между собой программ и аппаратных средств для защиты содержимого внутренней сети, взаимодействующей с сетью общего пользования (например, Интернет), от нежелательных воздействий путем перехвата и проверки поступающей информации.
Многоуровневая защита — защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности.
Модель защиты — абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.
Нарушение безопасности информационной системы — нарушение средств управления элементами системы, отвечающих за контроль целостности информации и доступа к системе. Может быть результатом как преднамеренных неправомерных действий злоумышленника, так и сбоев в работе отдельных программных или технических элементов системы. В любом случае следствием является облегчение доступа к информации или информации нарушение в результате неверной (неконтролируемой) работы программного обеспечения защиты данных от изменений.
Нарушитель — лицо, которое предприняло или пыталось предпринять попытку несанкционированного доступа к ресурсам системы и/или попытку выполнения запрещенных ему действий с данным ресурсом по, ошибке, незнанию или осознанно со злым умыслом (например, из корыстных побуждений) или без такового (ради игры, с целью самоутверждения и т.п.).
Нарушитель правил разграничения доступа — субъект доступа, осуществляющий несанкционированный доступ к информации.
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание: под штатными средствами понимается совокупность программного, микро программного и технического обеспечения средств вычислительной техники или автоматизированных систем.
Нормы эффективности защиты информации — значения показателей эффективности защиты информации, установленные нормативными документами.
Носитель информации — физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Орган защиты информации — административный орган, осуществляющий организацию защиты информации.
Пароль — идентификатор субъекта доступа, который является его (субъекта) секретом.
Пассивная атака — форма воздействия на информационную систему, в результате которого изменяются или уничтожаются ограничения на доступ к данным.
Персональные данные — сведения о фактах, события и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Показатель защищенности средств вычислительной техники— характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники.
Полномочия — права пользователя по доступу к тем или иным ресурсам системы и на выполнение определенных действий в системе. Обычно задаются наборами идентификаторов и паролей. В современных системах в качестве идентификаторов могут использоваться индивидуальные биометрические характеристики пользователя или специальные технические устройства со встроенными микропроцессорами.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Правило доступа к информации — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Право доступа к информации — совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Сведения, составляющие государственную тайну — защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести вред безопасности государства.
Сертификат защиты — документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
Сертификация уровня защиты — процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.
Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Спам — 1) направление большого числа сообщений, как правило рекламного характера, адресатам, которые не заказывали их получения; 2) как метод атаки — направление больших количеств информации в один или несколько связанных адресов сети с целью их перегрузки и отказа в обслуживании других пользователей.
Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Троянский конь — компьютерная программа с действительно или мнимо полезной функцией, содержащая намеренно встроенные элементы, обеспечивающие выполнение неправомерных действий. Широко распространенный механизм для внедрения вирусов или червей в систему. Может носить игровой, прикладной или служебный характер, вплоть до элементов системы безопасности.
Угроза информационной безопасности — потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению доступности, целостности или конфиденциальности информации, а также к неправомерному ее тиражированию.
Утечка информации — факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц.
Уязвимость — известный или подозреваемый недостаток в аппаратно-программных средствах или организации работы системы, который подвергает систему опасности нарушения ее безопасности при намеренных или случайных воздействиях.
Хакер — обобщенное название злоумышленника, намеренно находящего неправомерный доступ к компьютерам и информационным системам, к которым он не допущен. Хакерские действия не обязательно связаны с незаконным копированием, модификацией или разрушением информации, но всегда — с незаконным проникновением в закрытые информационные системы и сети.
Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Червь программный — программа, способная к распространению в сетях путем копирования своего тела с одного компьютера на другой. Отличается от вируса тем, что непосредственно не повреждает данные или программы. В соответствии со своим предназначением может вызывать нарушение работоспособности сети за счет увеличения загрузки каналов связи и памяти или предоставлять злоумышленнику несанкционированный доступ к информационным ресурсам сети.
Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.