Требования по защите информационных систем, устанавливаемые законодательством РФ

1.

Требования по защите информационных
систем, устанавливаемые
законодательством РФ. Информационные
процессы в сфере государственного и
муниципального управления.

2.

• По своей природе и целям подавляющее число процессов
в сфере ГМУ являются информационными и составляют
замкнутый цикл. К этим процессам относятся:
• - получение управляющими субъектами информации;
• - переработка и анализ полученной информации;
• - принятие управленческих решений;
• - доведение их до исполнителей;
• - контроль исполнения;
• - получение информации о результатах управления.

3.

• Применительно к сфере ГМУ информационные процессы
можно определить как процессы получения,
использования или преобразования информации в ходе
выполнения органом ГМУ или его должностным лицом
нормативно закрепленной за ним функции или задачи.
Типовыми информационными процессами в сфере ГМУ
являются:
• ведение документооборота;
• накопление информации;
• анализ информации;
• прогноз и планирование;
• принятие управленческих решений;
• информирование населения.

4.

• Государственное (муниципальное)
управление - это процесс выполнения
комплекса мероприятий, ориентированных
на достижение государственных
(муниципальных) целей, которые
описываются на языке, отображающем
желаемые состояния государства, отраслей,
регионов и муниципальных образований.

5.

• С тематической и функциональной точки зрения информация бывает
организационно-распорядительной, нормативно-правовой, плановофинансовой, социально-экономической, индикативной и т. д. По уровню
агрегирования - первичной, структурированной, статистической,
аналитической и др.
• По правовому режиму доступа информация может быть открытой и
ограниченного доступа.
• Документированная информация ограниченного доступа подразделяется
на информацию, отнесенную к государственной тайне, и
конфиденциальную.
• Конфиденциальная информация - это документированная информация,
доступ к которой ограничивается в соответствии с законодательством РФ.
• Персональные данные - это сведения о фактах, событиях и
обстоятельствах жизни гражданина, позволяющие идентифицировать его
личность. Персональные данные о гражданах, включаемые в состав
федеральных информационных ресурсов, информационных ресурсов
совместного ведения, информационных ресурсов субъектов РФ,
информационных ресурсов местного самоуправления, а также
получаемые и собираемые негосударственными организациями,
отнесены к категории конфиденциальной информации.
• В действующей нормативно-правовой базе РФ существует более 30 видов
тайн (видов конфиденциальной информации). Должны обрабатываться и
храниться на территории России (с 1 сентября 2015 года Федеральный
закон от 27 июля 2006 г. N 152-ФЗ О персональных данных)

6.

• Государственные информационные
ресурсы являются открытыми и
общедоступными. Исключение составляют
ресурсы, включающие документированную
информацию, отнесенную законом к
категории ограниченного доступа.

7. Состояние и перспективы информатизации сферы ГМУ

• Согласно Закону «Об информации, информатизации и защите
информации», информация - это организационный социальноэкономический и научно-технический процесс создания оптимальных
условий для удовлетворения информационных потребностей и
реализации прав граждан, органов государственной власти, органов
местного самоуправления, организаций, общественных объединений
на основе формирования и использования информационных
ресурсов.
• К сожалению, информатизация сферы ГМУ в России происходит в
целом весьма хаотично и со значительным отставанием от
требований времени. Так, например, по результатам исследований,
проведенных в Санкт-Петербурге, уровень эффективности
использования информации в системе управления городом
характеризуется следующими данными:
* только 10-15 % информации используется для обоснования и
принятия решений;
* соотношение между входной и выходной информацией в различных
системах управления составляет от 4:1 до 40:1;
* объем дублирующей информации в системах управления достигает
30 % от ее общего объема.

8.

• Такому положению дел способствовало отсутствие системной
государственной политики в информационной сфере. Тем не менее
определенные положительные сдвиги в этом направлении начинают
происходить. Так, в начале 2002 г. правительством РФ утверждена
федеральная целевая программа «Электронная Россия» на период
2002-2010 гг. Основной целью программы является повышение
эффективности функционирования экономики, государственного
управления и местного самоуправления за счет внедрения и
массового распространения информационных технологий, создание
технологических предпосылок для развития гражданского общества
за счет обеспечения прав на свободный доступ к информации,
расширение подготовки специалистов по информационным
технологиям и квалифицированных пользователей. По состоянию на
конец 2010 год эффективность исполнения программы оценивалась
как низкая: в полной мере электронный документооборот между
государственными органами, а также электронные коммуникации
между государственными органами и гражданами так и не
функционировали.

9. Для достижения целей программы в сфере ГМУ планируется

На первом этапе:
• проведение полномасштабного аудита всех информационных активов и
ресурсов федеральных органов государственной власти, анализ
зарубежного опыта реализации подобных программ;
• сформировать систему межведомственной координации деятельности
органов государственной власти всех уровней в целях развития и
массового распространения информационных технологий, разработаны
критерии эффективности бюджетных расходов этой области и создан
механизм, обеспечивающий их достижение;
• создание предпосылок для законодательного обеспечения прав граждан
на доступ к открытой информации государственных органов власти и
местного самоуправления на основе использования информационных
технологий;
• Начало реализации первых пилотных проектов по переходу к
электронному документообороту в государственных и муниципальных
органах власти, по развитию инфраструктуры доступа к
телекоммуникационным сетям для органов государственной власти и
местного самоуправления.

10.

На втором этапе:
• будут реализованы организационные мероприятия по расширению и развитию
проектов по интерактивному взаимодействию органов государственной власти и
местного самоуправления с гражданами и хозяйствующими субъектами;
• будут разработаны и приняты изменения и дополнения к действующим нормативным
актам, уравнивающие в правах электронную и бумажную форму представления
информации в государственные органы и органы местного самоуправления (в
частности, в налоговые и статистические органы, органы регистрации имущественных
и других прав и т. п.);
• будет в основном сформирована единая телекоммуникационная инфраструктура для
органов государственной власти и местного самоуправления;
• будут разработаны меры, регламентирующие права граждан и обязанности
государственных и муниципальных учреждений по принятию к рассмотрению заявок,
жалоб и других запросов граждан в электронной форме;
• предполагается расширение сферы обязательного для государственных органов
применения информационных технологий в сфере взаимодействия государства и
общества, позволяющее гражданам реализовать свои конституционные права на
получение информации по нормотворческой деятельности, бюджетному процессу,
проведению закупок для государственных нужд, процесса управления
государственной собственностью и т. д.;
• будут развиваться системы внутриведомственного и межведомственного электронного
документооборота, включая развитие локальных информационных сетей и интранет, в
том числе с использованием открытых международных стандартов;
• будет осуществлена разработка и начата реализация мер по оцифровке и ускоренному
переводу в открытый доступ всей не запрещенной к открытому распространению,
имеющейся у государственных органов информации;

11.

• будут разработаны и введены в действие
необходимые поправки в процессуальное
законодательство, позволяющие
осуществлять ряд процессуальных действий
с использованием информационных
технологий;
• будет сформирована основная
конфигурация «электронного
правительства».

12.

• На третьем этапе по результатам предыдущих этапов:
• будет обеспечено комплексное внедрение
стандартизированных систем документооборота;
• будет реализовываться концепция представительства
органов власти в сети Интернет.
• Таким образом, при условии выполнения программы
компьютерные технологии к концу первого десятилетия
XXI в. станут основой повседневной деятельности
органов ГМУ, а компьютерные системы - ее главными
инструментами.

13. Современная постановка задачи защиты информации

• Система защиты информации должна быть представлена как нечто
целое. Целостность системы будет выражаться в наличии единой цели
ее функционирования, информационных связей между элементами
системы, иерархичности построения подсистемы управления системой
защиты информации.
• Система защиты информации должна обеспечивать безопасность
информации, средств информации, защиту интересов участников
информационных отношений и невозможность несанкционированного
доступа злоумышленника к защищаемой информации.
• Система защиты информации в целом, применяемые методы и
средства защиты должны быть по возможности прозрачными для
законного пользователя, не создавать ему больших дополнительных
неудобств, связанных с процедурами доступа к информации.
• Система защиты информации должна обеспечивать оценку угроз
внешних дестабилизирующих факторов и защиту от них.

14. Государственная система правового обеспечения защиты информации в Российской Федерации

• Основные положения правового
обеспечения защиты информации
приведены в Доктрине информационной
безопасности РФ, а также в других
законодательных актах.

15.

• Согласно законодательству обязательными
признаками информации с ограниченным
доступом должны быть:
• Информация имеет действительную или
потенциальную ценность для ее обладателя в силу
неизвестности ее третьим лицам. Такими лицами
могут быть государство, юридические или и
физические лица.
• К информации нет свободного доступа на законном
основании. Возможность сохранения ее
неизвестной для третьих лиц установлена законом.
• Обладатель информации принимает меры по ее
защите.

16.

• При этом к государственной тайне относятся сведения,
удовлетворяющие следующим признакам:
• Сведения в строго установленных сферах деятельности государства
(военной, внешнеполитической, экономической, разведывательной,
контрразведывательной и оперативно-розыскной деятельности) и ни
в каких других;
• Сведения, не известные широкому, точнее – неопределенному
неконтролируемому кругу лиц, и, представляющие ценность именно в
силу такой неизвестности;
• Сведения, распространение которых может нанести ущерб
безопасности РФ. Следует подчеркнуть, что распространение этих
сведений наносит ущерб не отдельных физических или юридических
лиц, а государства в целом. При этом величина ущерба такова, что
влияет на безопасность государства;
• Сведения, относительно которых предпринимаются специальные
меры защиты, направленные на предотвращение их
неконтролируемого распространения.

17.

Федеральный Закон РФ «Об информации, информационных
технологиях и защите информации» (ст. 9) указывает, что режим
защиты информации устанавливается:
• в отношении сведений, отнесенных к государственной тайне –
уполномоченными органами на основании Закона РФ «О
государственной тайне»;
• в отношении конфиденциальной информации – обладателем
информационных ресурсов или уполномоченным им лицом на
основании Федерального Закона и (или) по решению суда;
• в отношении персональных данных – Федеральным Законом.
• Организации, оперирующие информацией с ограниченным
доступом от имени государства, создают специальные службы,
обеспечивающие защиту данной информации.

18.

• Основным органом, координирующим действия государственных
структур по вопросам защиты информации, является
Межведомственная комиссия по защите государственной тайны,
созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она
действует в рамках Государственной системы защиты информации от
утечки по техническим каналам, положение о которой введено в
действие постановлением Правительства РФ от 15.09.1993 г. №912-51.
В этом постановлении определены структура, задачи и функции, а
также организация работ по защите информации применительно к
сведениям, составляющим государственную тайну. Основной задачей
Государственной системы защиты информации является проведение
единой технической политики, организация и координация работ по
защите информации в оборонной, экономической, политической,
научно-технической и других сферах деятельности страны.
• Общая организация и координация работ в стране по защите
информации, обрабатываемой техническими средствами,
осуществляется Федеральная служба по техническому и экспортному
контролю (ФСТЭК России).

19. Структура нормативной базы по вопросам информационной безопасности включает:

Конституцию РФ;
федеральные законы и законы РФ;
кодексы РФ (уголовный, гражданский, об административных правонарушениях);
постановления правительства РФ;
ведомственные нормативные акты, ГОСТы, руководящие документы.
• Среди федеральных законов:
• «О государственной тайне»;
• «О безопасности»;
• «О лицензировании отдельных видов деятельности»;
• «Об информации, информатизации и защите информации»;
• «О правовой охране программ для электронных вычислительных машин и баз
данных»;
• «О техническом регулировании»;
• «Об участии в международном информационном обмене»;
• «О связи»;
• «Об органах Федеральной службы безопасности в РФ»;
• «О коммерческой тайне»;
• «Об электронной цифровой подписи».

20. Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих

законодательной поддержки:
• защита персональных данных;
• борьба с компьютерной преступностью, в первую очередь в
финансовой сфере;
• защита коммерческой тайны и обеспечение благоприятных
условий для предпринимательской деятельности;
• защита государственных секретов;
• создание системы взаимных финансовых расчетов в электронной
форме с элементами цифровой подписи;
• обеспечение безопасности АСУ потенциально опасных
производств;
• страхование информации и информационных систем;
• сертификация и лицензирование в области безопасности, контроль
безопасности информационных систем;
• организация взаимодействия в сфере защиты данных со странамичленами СНГ и другими государствами.

21.

• При всем многообразии видов организаций, направлений и
масштабов их деятельности, численности участников основными
объектами обеспечения информационной безопасности, как
правило, являются:
• информация в форме сведений (сведения об участниках организации,
о состоянии рынка и ее активов; репутация организации и доброе имя
участников организации и т.п.);
• информация в форме сообщений (документы, закрепляющие права
собственности организации на материальные и нематериальные
активы; документация бухгалтерского учета, налоговые декларации,
договоры на выполнение работ и оказание услуг, документация на
выпускаемые изделия и т.п.);
• информационная инфраструктура (автоматизированные системы
обработки информации и технологического управления; техническое
и программное обеспечение информационных и коммуникационных
систем и сетей связи, используемых в организации, и т.п.);
• правовой статус организации как субъекта информационной сферы
(права на объекты интеллектуальной собственности, на выполнение
работ и оказание услуг, на доступ к открытой информации
государственных органов, на коммерческую тайн} и т.п., а также
обязанности по представлению в уполномоченные государственные
органы сведений о результатах экономической деятельности, по
соблюдению режима персональных данных, по представлению
заинтересованным лицам документов в случае направления заявки
на участие в конкурсах и аукционах и т.п.).

22.

Наиболее опасные угрозы безопасности этих объектов проявляются в следующих
формах:
мошенничество, связанное с завладением чужим имуществом или
приобретением права на него путем обмана или злоупотребления доверием,
основанных на неправомерном доступе к информационно-коммуникационным
системам, конфиденциальной информации, на подделке или искажении
электронных документов в информационных и коммуникационных системах,
сетях;
клевета, основанная на распространении заведомо ложной информации,
порочащей честь и достоинство руководителей организации;
нарушение авторских и смежных прав, связанных с объектами интеллектуальной
собственности;
шантаж, связанный с угрозой распространения персональных данных, иной
информации, охраняемой законом в режиме тайны;
противоправное раскрытие информации ограниченного доступа третьим лицам;
уничтожение или повреждение информационных ресурсов, информационнокоммуникационных систем и сетей связи посредством использования и
распространения вредоносных программ, нарушения правил эксплуатации ЭВМ и
их сетей;
причинение имущественного ущерба собственнику или иному владельцу
информационно-коммуникационных систем и сетей связи путем обмана или
злоупотребления доверием без признаков хищения.