1956

Остановимся подробнее на важном понятии «политика безопасности». Приведем несколько определений.

Политика безопасности организации – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности [9].

Нас будет в основном интересовать «политика информационной безопасности».

Согласно ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»,

политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон. Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью. Политика должна содержать следующие положения:

а) определение информационной безопасности, ее общих целей и сферы действия, а также упоминание значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;

б) изложение намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

в) основание для установки целей контроля и мер контроля, включая структуру оценки риска и менеджмент риска;

г) краткое изложение наиболее существенных для организации политик безопасности, принципов, стандартов и требований, включающее:

1)соответствие законодательным, регулятивным требованиям и договорным обязательствам;

2)требования в отношении обучения и осведомленности

ввопросах безопасности;

22

3)управление непрерывностью бизнеса;

4)ответственность за нарушения политики информационной безопасности;

д) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

е) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Такая политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации.

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения ее непрерывной стабильности, адекватности и эффективности.

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

23

2. МЕСТО И РОЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ, ОСНОВЫ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ ПОЛИТИКИ

2.1.Понятие национальной безопасности РФ

Вданном разделе фактически демонстрируется применение понятия «информационной безопасности» к такому объекту, как Российская Федерация.

ВКонцепции национальной безопасности РФ, утвержденной Указом Президента РФ от 17.12.1997 г. № 1300 (в редакции Указа Президента РФ от 10.01.2000 г. № 24), дается следующее определение национальной безопасности.

Под национальной безопасностью РФ понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в РФ.

Национальные интересы России – это совокупность сбалансированных интересов личности, общества и государства в различных сферах жизнедеятельности: экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других.

Втеории национальной безопасности используется понятие «жизненно важные интересы». Жизненно важные интересы – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства

[55].

Национальные интересы обеспечиваются институтами государственной власти, осуществляющими свои функции, в том числе во взаимодействии с действующими на основе Конституции РФ и законодательства РФ общественными организациями.

24

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Важнейшими задачами обеспечения информационной безопасности РФ являются:

•реализация конституционных прав и свобод граждан РФ в сфере информационной деятельности;

•совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

•противодействие угрозе развязывания противоборства

винформационной сфере.

Современный этап развития общества характеризуется возрастающей ролью информационной сферы. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений [Доктрина ИБ РФ, 2000].

Напомним, что под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [Доктрина ИБ РФ, 2000].

Доктрина информационной безопасности РФ дает две

классификации национальных интересов в информационной сфере:

•первую можно назвать классификацией по принадлежности интересов;

•вторую можно назвать классификацией по важности интересов.

25

В соответствии с первой классификацией национальные интересы – это совокупность интересов личности, интересов общества и интересов государства.

Интересы личности:

•Реализация конституционных прав на доступ к информации.

•Использование информации в интересах осуществления не запрещенной законом деятельности.

•Физическое, духовное и интеллектуальное развитие.

•Защита информации, обеспечивающей личную безопасность.

Интересы общества:

•Обеспечение интересов личности в информационной

сфере.

•Упрочение демократии, создание правового, социального государства.

•Достижение и поддержание общественного согласия.

•Духовное обновление России.

Интересы государства:

•Гармоничное развитие российской информационной инфраструктуры.

•Реализация конституционных прав человека и гражданина в области получения информации и пользования ею.

•Незыблемость конституционного строя, суверенитета и территориальной целостности России.

•Политическая, экономическая и социальная стабильность.

•Безусловное обеспечение законности и поддержание правопорядка.

•Развитие равноправного и взаимовыгодного международного сотрудничества.

26

2.2. Угрозы и источники угроз в информационной сфере Российской Федерации

По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды [Доктрина ИБ РФ, 2000]:

•угрозы конституционным правам и свободам человека

игражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

•угрозы информационному обеспечению государственной политики РФ;

•угрозы развитию отечественной индустрии информации;

•угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние.

Внешними источниками угроз, например, являются:

•иностранные политические, экономические, военные, разведывательные и информационные структуры, направленные против интересов РФ в информационной сфере;

•международные террористические организации;

•увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

•разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

27

Внутренними источниками угроз, например,

являются:

•критическое состояние отечественных отраслей промышленности;

•неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных

икриминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

•недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

•недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

•неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

•недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;

•недостаточная экономическая мощь государства;

•снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

•недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

28

• отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Хотя в Доктрине и приведены эти внутренние источники, но фактически они являются не источниками, а уязвимостями. Все зависит от понимания этих понятий.

2.3. Общая структура государственной системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны.

Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

На рис. 2.1 представлена указанная структура государственной системы обеспечения информационной безопасности Российской Федерации.

29