Направление защиты информации

Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) "О государственной тайне"

Статья 20. Органы защиты государственной тайны

 

К органам защиты государственной тайны относятся:

межведомственная комиссия по защите государственной тайны;

федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;

(в ред. Федерального закона от 29.06.2004 N 58-ФЗ)

(см. текст в предыдущей редакции)

органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны, утверждаемым Президентом Российской Федерации.

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации.

(часть третья в ред. Федерального закона от 29.06.2004 N 58-ФЗ)

(см. текст в предыдущей редакции)

Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

 

Важно понимать, что система защиты информации не может обеспечить стопроцентную защиту. Задается определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.

 

Все меры защиты информации по способам осуществления подразделяются на:

 

правовые (законодательные);

морально-этические;

технологические;

организационные (административные и процедурные);

физические;

технические (аппаратурные и программные).

Среди перечисленных видов защиты базовыми являются правовая, организационная и техническая защита информации.

 

Правовая защита - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением[1.3]. К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства. В некотором роде эту группу мер можно отнести к профилактическим. Их основной функцией является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления. Достоинствами правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права в случае незаконного тиражирования.

 

К морально-этическим мерам относятся устоявшиеся в обществе нормы поведения. В отдельных случаях они могут быть оформлены в письменном виде, например, уставом или кодексом чести организации. Соблюдение морально-этических норм не является обязательным и носит скорее профилактический характер.

 

Организационные меры защиты – меры организационного характера, предназначенные для регламентации функционирования информационных систем, работы персонала, взаимодействия пользователей с системой. Среди базовых организационных мер по защите информации можно выделить следующее:

 

Формирование политики безопасности;

Регламентация доступа в помещения;

Регламентация допуска сотрудников к использованию ресурсов информационной системы и др.

Определение ответственности в случае несоблюдения требований информационной безопасности.

Организационные меры сами по себе не могут решить задачу обеспечения безопасности. Они должны работать в комплексе с физическими и техническими средствами защиты информации в части определения действий людей.

 

Физическая защита представляет собой совокупность средств, препятствующих физическому проникновению потенциального злоумышленника в контролируемую зону. Ими могут быть механические, электро- или электронно-механические устройства различного типа. Чаще всего, именно с построения физической защиты начинается обеспечение безопасности в организации, в том числе информационной.

 

Последним и самым обширным по своему составу эшелоном системы защиты является техническая защита информации. Именно этому виду защиты посвящен данный курс.

 

Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств [1.3]. Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от НСД, от математического воздействия, от вредоносных программ и т.п. Объектами технической защиты информации могут быть:

 

объект информатизации;

информационная система;

ресурсы информационной системы;

информационные технологии;

программные средства;

сети связи.

С позиции системного подхода система защиты информации должна удовлетворять ряду принципов, основными из которых являются:

 

непрерывность. Если на какое-то время защита ослабевает или прекращается вовсе, злоумышленник может воспользоваться этим.

целенаправленность и конкретность - имеется в виду необходимость защиты от наиболее опасных атак и четкая формулировка целей.

надежность, универсальность и комплексность.