Смекни!
smekni.com

Система защиты ценной информации и конфиденциальных документов (стр. 1 из 3)

СОДЕРЖАНИЕ
1 Введение 3
2 Законодательные и административные меры для регулирования вопросов защиты информации 5
3 Технические и программно-математические методы защиты информации 8
4 Методы защиты информации и их главные недостатки: 10
5 Заключение 13
6 Список литературы 14

Введение

Данная работа представляет собой сокращенный, актуализированный с учетом ряда происшедших за последний период изменений, вариант учебного пособия книги "Организация безопасности в области защиты информации", опубликованной в 1998 г. в МИФИ. Не проходящий и не снижающийся интерес к этой проблематике, объясняется тем, что происходящие в стране процессы существенно затронули проблему организации системы защиты информации во всех ее сферах - разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны.

Существенным фактором, до настоящего времени оказывающим значительное влияние на положение дел в области защиты информации, является то, что до начала 90-х годов нормативное регулирование в данной области оставляло желать лучшего. Система защиты информации в нашей стране в то время определялась существовавшей политической обстановкой и действовала в основном в интересах Специальных служб государства, Министерства обороны и Военно-промышленного комплекса. Цели защиты информации достигались главным образом за счет реализации принципа "максимальной секретности", в соответствии с которым доступ ко многим видам информации был просто ограничен. Никаких законодательных и иных государственных нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Средства криптографической защиты информации использовались только в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Указанные предприятия строго отбирались и категорировались по уровню допуска к разработке и производству этих средств. Сами изделия тщательно проверялись компетентными государственными органами и допускались к эксплуатации исключительно на основании специальных заключений этих органов. Любые работы в области криптографической защиты информации проводилась на основании утвержденных Правительством страны специальных секретных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения о этих средствах, их разработке, производстве, и использовании как в стране, так и за рубежом были строго засекречены, а их распространение предельно ограничено. Даже простое упоминание о криптографических средствах в открытых публикациях было запрещено.

В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Важно другое - на мой взгляд, можно констатировать, что уже имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

В последнее время в различных публикациях муссируется вопрос о том, что созданный механизм государственного регулирования в области защиты информации используется государственными органами, уполномоченными на ведение лицензионной деятельности, для зажима конкуренции и не соответствует ни мировому опыту, ни законодательству страны. В этой связи, во-первых, хотели бы отметить, что по состоянию на декабрь месяц 1996 года Федеральным агентством правительственной связи и информации при Президенте Российской Федерации оформлена 71 лицензия на деятельность в области защиты информации. Официально в выдаче лицензии отказано только одной фирме. Еще одному предприятию, кстати, государственному отказано в продлении лицензии за нарушения условий ее действия. Среди лицензиатов - предприятия различных форм собственности и ведомственной принадлежности, включая такие частные фирмы, как: "Авиателеком", "Аргонавт", "Анкей", "КомФАКС", "Инфотекс" и другие. Полный список лицензий, выданных ФАПСИ публикуется в печати, в том числе и в изданиях фирмы "Гротек".

Кроме того, чтобы остудить бушующие вокруг данной проблемы страсти, считаю полезным подробнее ознакомиться с имеющимся опытом зарубежного законодательства и требованиями российских нормативных актов в области защиты информации.

Законодательные и административные меры для регулирования вопросов защиты информации

Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве научно-технически развитых стран мира. Компьютерные преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.

Первый закон о защите информации был принят в Соединенных Штатах Америки в 1906 году. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Проблемы информационной безопасности рассматриваются американской администрацией как один из ключевых элементов национальной безопасности. Национальная политика США в области защиты информации формируется Агентством национальной безопасности (АНБ). При этом наиболее важные стратегические вопросы, определяющие национальную политику в данной сфере, как правило, решаются на уровне Совета национальной безопасности, а решения оформляются в виде директив Президента США. Среди таких директив следует отметить следующие:

директива PD/NSC-24 "Политика в области защиты систем связи" (1977 год, Д. Картер), в которой впервые подчеркивается необходимость защиты важной несекретной информации в обеспечении национальной безопасности;

директива SDD-145 "Национальная политика США в области безопасности систем связи автоматизированных информационных систем" (1984 год, Р. Рейган), которая стала юридической основой для возложения на АНБ функции по защите информации и контролю за безопасностью не только в каналах связи, но и в вычислительных и сложных информационно-телекоммуникацион-ных системах.

В период с 1967 года по настоящее время в США принят целый ряд федеральных законов, создавших правовую основу для формирования и проведения единой государственной политики в области информатизации и защиты информации с учетом интересов национальной безопасности страны. Это законы "О свободе информации" (1967 год), "О секретности" (1974 год), "О праве на финансовую секретность" (1978 год), "О доступе к информации о деятельности ЦРУ" (1984 год), "О компьютерных злоупотреблениях и мошенничестве" (1986 год), "О безопасности компьютерных систем" (1987 год) и некоторые другие.

Во Франции государственному контролю подлежат изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого после консультаций со специальным комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.

Нормы и требования российского законодательства включают в себя положения ряда нормативных актов Российской Федерации различного уровня.

19 февраля 1993 года Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" N 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит сертификацию в области защиты информации и дата его принятия - 19 февраля 1996г. - является исходной точкой от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.

Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России Федерального закона "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ. Данный закон впервые официально вводит понятие "конфиденциальной информации", которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.