Тема 1. Основные понятия курса «Правовые основы информационной безопасности» 1. Понятие и признаки информации. 2. Информационной сфера и ее элементы. 3. Понятие и структура информационной безопасности.

 1. Термин «информация» происходит от латинского слова «informatio», что означает сообщение, разъяснение, изложение.

ЮНЕСКО определило информацию как универсальную суб­станцию, пронизывающую все сферы человеческой деятельности, служащую проводником знаний и сведений, инструментом обще­ния, взаимопонимания и сотрудничества, утверждения стереотипов мышления и поведения.

В ст. 2. ФЗ «Об информации, информационных технологиях и защите ин­формации» информация определена как сведения (сообщения, данные) независимо от формы их представления.

Из этого определения можно выделить признаки, характеризующие легальную формулу информации.

Первым признаком следует назвать содержательность. Этот признак проявляется через отождествление информации со сведениями, которые выступают некими символами лиц, предметов, фактов, событий, явлений и процессов. Очевидно, что между сведениями и теми объектами, по поводу которых эти сведения возникли, нет взаимно однозначного соответствия. Данные сведения выступают лишь обозначением содержания, полученного из внешнего мира.

Вторым признаком будет являться независимость формы представления сведений. Он проявляется через возможность существования сведений о чем-либо в любой воспринимаемой форме: устной, письменной, визуальной, акустической. Сведения, выраженные в знаках, обычно называют данными.

В теории выделяют следующие основные общие признаки информации.

1. Системность, т. е. информация выступает средством системной организации материи.

2. Неисчерпаемость, которая предполагает отсутствие пределов существования информации.

3. Массовость, которая означает возможность использования информации неограниченным количеством пользователей без изменения ее содержания.

4. Трансформируемость информации - независимость содержания информации от формы фиксации и способа предъявления.

6. Универсальность информации - содержание информации может быть в произвольном объеме о любом событии или действии.

9. Качество, которое рассматривается как совокупность свойств информации, характеризующих степень ее соответствия потребностям. К таким свойствам относятся:

а) адекватность - соответствие информации тому, что автор вложил в ее содержание;

б) достоверность - степень соответствия информации объективной реальности;

в) полнота - достаточность информации для принятия решения;

г) своевременность - получение информации в сроки, необходимые для принятия решения;

е) доступность - мера возможности получить информацию;

ж) актуальность - степень соответствия информации текущему моменту времени;

з) ценность - степень важности информации для принятия решений.

 

Информация в качестве объекта правового регулирования обладает специфическими особенностями и юридическими свойствами, которые во многом определяют и отношения, возникающие при ее обращении между субъектами, и характер их поведения.

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1.              свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2.              установление ограничений доступа к информации только федеральными законами;

3.              открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4.              равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5.              обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6.              достоверность информации и своевременность ее предоставления;

7.              неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8.              недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Выделяют следующие свойства информации как объекта правового регулирования:

- физической неотчуждаемости- информация практически не можетбыть отчуждена от создателя или иного обладателя, т. е. при передачеинформации другому лицу (лицам) она по-прежнему остается у пер­воначального носителя;

- обособляемости - для включения в оборот информация должна быть овеществлена, т. е. закодирована в виде волн {в т. ч. звуковых), сим­волов, знаков и т. п. Вследствие этого она обособляется от создателя(носителя) и существует независимо от него;

- информационной вещи (информационного объекта)- при овеществлении и включении в оборот информация обычно закрепляется на каком-то материальном носителе и распространяется с его помощью;

- тиражируемости (распространяемости)- информация может тиражи­роваться и распространяться в неограниченном количестве экземпля­ров без изменения ее содержания;

- организационной формы- информация, находящаяся в обороте, как правило, является документированной, т. е. существует в виде доку­мента или массива документов;

- экземплярности- информация распространяется, как правило, не са­ма по себе, а на материальном носителе, вследствие чего возможен учет экземпляров информации через учет носителей, содержащих ин­формацию.

Информация может проявляться в различных формах . Основными фор­мами информации являются:

- документированная;

- недокументированная.

Документированная информация— это информация, закрепленная на материальном носителе. Понятие документированной информации (до­кумента) содержится в ст. 2 Закона об информации и обозначает "зафик­сированную на материальном носителе информацию с реквизитами, по­зволяющими ее идентифицировать"

Электронная информация представляет собой сведения о лицах, предме­тах, фактах, событиях, явлениях и процессах, представленные в форме, по­зволяющей провести их непосредственную машинную обработку.

По роли в правовой системе информация разделяется на правовуюи неправовую.

Нормативная правовая информация создается в порядке правотворческой деятельности и содержится в нормативных правовых актах..

Ненормативная правовая информация создается, как правило, в по­рядке правоприменительной и правоохранительной деятельности. С помощью такой информации реализуются предписания правовых норм. Эта информация создается в объекте управления и движется в контуре обратной связи системы правового управления.

К ненормативной правовой информации относятся:

1) общая информация о состоянии законности и правопорядка;

2) информация о гражданско-правовых отношениях, договорных и иных обязательствах (договоры, соглашения и т.п. документы);

3) информация, представляющая административную деятельность органов исполнительной власти и местного самоуправления по испол­нению нормативных предписаний;

4) информация судов и судебных органов (судебные дела, судебныерешения и т.п.);

5) информация, связанная с раскрытием и расследованием право­нарушений.

По степени доступа информация подразделяется на открытую и информацию ограниченного доступа, распространение которой воз­можно в условиях конфиденциальности или секретности .

Документированная информация может быть подразделена и на другие виды. Так, ее можно разделить по создателям, по владельцам, по способам хранения и т. д.

Вопрос 2

Прежде чем перейти к изучению вопросов правового регулирова­ния общественных отношений, связанных с информацией, нужно хо­рошо исследовать ту сферу, в которой возникают общественные отно­шения, регулируемые информационным правом или подлежащие та­кому регулированию, определить состав объектов, которые наличествуют в этой сфере, выявить и установить особенности поведе­ния субъектов, действующих в информационной сфере и участвующих в информационных процессах.

Согласно п. 3.1.3 Национального стандарта РФ ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст) информационная сфера: совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

В Доктрине информационной безопасности РФ под информационной сферой понимается совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети «Интернет», сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений.

Информационная сфера рассматривается как сфера правового ре­гулирования информационных отношений с целью выявления роли и места информации в правовой системе, изучения мотивов и ос­нований производства, преобразования и применения информации разного вида и назначения, исследования особенностей и свойств информации, исследования информационных процессов и возни­кающих при их исполнении информационных отношений, установ­ления институтов информационного права. Информаци­онную сферу (среду) можно рассматривать как сферу деятель­ности субъектов, связанную с созданием, преобразованием и по­треблением информации. Именно в информационной сфере возникают общественные отношения, подлежащие правовому регулированию, при выполне­нии информационных процессов.

Информационная сфера , исходя из видов и способов представле­ния информации, особенностей ее преобразования и обращения, мо­жет быть разделена на две части:

- основную часть или часть собствен­но обращения информации

- и часть, обес­печивающую обращение информации.

Каждая из них в свою очередь подразделяется на области:

- основ­ная часть включает три области:

- Область поиска, получения и потребления информации

- Область производства и распространения исходной и производной информации

- Область формирования информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг

- обеспечивающая – две:

- Область создания и применения информационных технологий и средств их обеспечения

- Область создания и применения средств и механизмов информационной безопасности

Информационные процессы — процессы создания, сбора, обра­ботки, накопления, хранения, поиска, распространения информа­ции и потребления информации. В результате исполнения инфор­мационных процессов осуществляются информационные права и свободы, выполняются обязанности соответствующими структурами производить и вводить в обращение информацию, затрагивающую права и интересы граждан, а также решаются вопросы защиты лич­ности, общества, государства от ложной информации и дезинфор­мации, защиты информации и информационных ресурсов ограни­ченного доступа от несанкционированного доступа.

Информационные отношения — это те общественные отношения, которые возникают в информационных процессах. Они составляют основной предмет информационного права, предмет его правового регулирования.

Информационная сфера может быть разделена на четыре пред­метных области:

1)  реализации права на поиск, получение, передачу и примене­ние информации;

2)  производства, передачи и распространения исходной и про­изводной информации; формирования информационных ресурсов, подготовки ин­формационных продуктов, предоставления информационных услуг;

3)  создания и применения информационных систем (АИС, БД, баз знаний), других информационно-телекоммуникационных тех­нологий;

4)  создания и применения средств и механизмов информацион­ной безопасности.

Каждая предметная область включает в себя непересекающиеся множества элементов:

-       информация разного вида, назначения, фор­мы представления;

-       информационные процессы производства и об­ращения информации;

-       субъекты — участники и исполнители ин­формационных процессов;

-       общественные отношения, возникающие при исполнении информационных процессов, т.е. информацион­ные отношения.

3. Понятие и структура информационной безопасности

 

Информационная безопасность Российской Федерации - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.

Информационная безопасность включает следующие элементы:

-       безопасность  содержательной  части  (смысла)  информа­ции— отсутствие в ней побуждения человека к негатив­ным действиям, умышленно заложенных механизмов нега­тивного воздействия на человеческую психику или нега­тивного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, име­нуемой компьютерным вирусом);

-       защищенность информации от внешних воздействий (по­пыток   неправомерного   копирования,   распространения, модификации (изменения смысла) либо уничтожения.

Таким образом защита информации является составной частью информационной безопасности и представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Структуру правового обеспечения информационной безопасности можно представить следующим образом:

1. Защита интересов личности, общества, государства от угроз воздействия недоброкачественной информации, от нарушения порядка распространения информации включает защиту:

-       чести, достоинства и деловой репутации граждан и организаций;

-       духовности и интеллектуального уровня развития личности;

-       нравственных и эстетических идеалов;

-       стабильности и устойчивого развития общества;

-       информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения.

(Институт массовой информации. Институт документированной информации. Нормы УК РФ. Нормы КоАП РФ)

2. Защита информации, информационных ресурсов и информационных систем от угроз несанкционированного и неправомерного воздействия посторонних лиц включает защиту:

            информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны);

            информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

            (Институт документированной информации. Институт государственной тайны. Институт коммерческой тайны. Институт персональных данных. Другие виды тайн. Нормы УК РФ. Нормы КоАП РФ. Нормы ГК РФ).

3. Защита прав и свобод в информационной сфере в условиях информатизации включает защиту:

-       права на производство, распространение, поиск, получение, передачу и использование информации;

-       права на интеллектуальную собственность;

-       права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии.

            (Институт интеллектуальной собственности. Институт документированной информации. Нормы УК РФ. Нормы КоАП РФ. Нормы ГК РФ).

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Лекция по теме "Организационное обеспечение информационной безопасности"

 

Тема .Организационное обеспечение информационной безопасности

1.    1. Понятие организационного обеспечения.

2.    2. Политика информационной безопасности

3. 3. Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной власти

 

Организационное обеспечение- совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации информационной системы.

Организационное обеспечение реализует следующие функции:

·        анализ существующей системы управления организацией, где будет использоваться ИС, и выявление задач, подлежащих автоматизации;

·        подготовку задач к решению на компьютере, включая техническое задание на проектирование ИС и технико-экономическое обоснование ее эффективности;

·        разработку управленческих решений по составу и структуре организации, методологии решения задач, направленных на повышение эффективности системы управления.

Организационный или административный уровень является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности.

Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.

Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.

Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности – программно-технический.

Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

Содержанием административного уровня являются следующие мероприятия:

1.     Разработка политики безопасности.

2.     Проведение анализа угроз и расчета рисков.

 

2.Политика информационной безопасности

 

Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

·        определение объема и требуемого уровня защиты данных;

·        определение ролей субъектов информационных отношений.

Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

·        основные положения информационной безопасности организации;

·        область применения политики безопасности;

·        цели и задачи обеспечения информационной безопасности организации;

·        распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

·        аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;

·        программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

·        данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

·        персонал – обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

·        специалист по информационной безопасности;

·        владелец информации;

·        поставщики аппаратного и программного обеспечения;

·        менеджер отдела;

·        операторы;

·        аудиторы.

В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).

Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

 

 

3.    Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной власти.

Наиболее развитой составляющей комплекса обеспечения информационной безопасности является государ­ственная система защиты информации, в составе которой можно выделить такиеорганизационные структуры, как:

- служ­бы контроля, надзора и обеспечения безопасности органов ис­полнительной власти;

- специализированные предприятия и орга­низации — лицензиаты в различных областях компетенции упол­номоченных органов исполнительной власти, которые являются разработчиками средств и поставщиками услуг по защите ин­формации;

- сертификационно-испытательные центры;

- аттестаци­онные центры;

-  службы безопасности и защиты информации пред­приятий и организаций, независимо от их формы собственнос­ти.

Службы контроля и надзора органа исполнительной властинесут основную нагрузку по формированию и развитию системы защиты информации в соответствующем органе власти. Такие служ­бы входят в состав административного аппарата органов испол­нительной власти и, как правило, в их функции входят:

            - разработка нормативно-методических документов отраслевого (ведомственного) уровня по выполнению требований обеспе­чения безопасности и защиты информации;

 - разработка, организация и проведение контрольных и над­зорных мероприятий в пределах установленной сферы компетен­тности органа государственной власти и оформление результатов проведения таких мероприятий;

 - выдача предписаний об устранении нарушений требований -нормативных документов;

- подготовка мотивированных предложений о полном или ча­стичном прекращении деятельности подведомственных организаций в случае, если иными мерами нарушения требований норма­тивных документов не могут быть устранены;

- проведение в ходе государственного контроля (надзора) разъяснительной работы по выполнению требований норматив­ных актов в области обеспечения безопасности и защиты инфор­мации.

Выполнение указанного перечня функций обеспечивают спе­циалисты, соответствующие следующей номенклатуре основных должностей: руководитель управления, службы; руководитель от­дела, сектора; специалист по направлению деятельности службы безопасности; инженер-метролог (нормоконтролер технической и организационно-распорядительной документации).

Особое место в государственной системе защиты информации занимают специализированные предприятия — разработчики ком­плексов и средств обеспечения, а также поставщики услуг в обла­сти безопасности и защиты информации. Именно от степени их развития, уровня и качества поставляемой продукции и услуг за­висит безопасность, устойчивость и надежность функционирова­ния всей инфраструктуры информационной безопасности. Поэто­му недаром одним из обязательных требований к указанным пред­приятиям и организациям является лицензирование их деятель­ности уполномоченным органом исполнительной власти в соот­ветствии с законодательством о государственном регулировании отдельных видов деятельности.

Предлагаемые на рынке этими предприятиями услуги организа­ционно-технологического характера можно классифицировать в соответствии с этапами жизненного цикла систем обеспечения информационной безопасности:

-            обследование — услуга, которая может включать анализ защи­щенности используемых информационных технологий, обследо­вание системы документооборота, обследование организации в целом (т.е. анализ влияния существующего документооборота на защищенность бизнес-процессов), проверку деятельности орга­низации в соответствии с требованияминормативно-правовых документов и тому подобное;

-            проектирование комплексной системы обеспечения, при кото­ром должен быть охвачен не только технический уровень, но н все механизмы защиты, включая организационно-правовые;

-            внедрение системы защиты информации на договорной основе с использованием специализированных подрядныхорганизаций,имеющих соответствующую лицензию (может дать большой эф­фект за счет высокой квалификации привлекаемых специалистов);

-            сопровождение систем информационной безопасности и работ по защите информации третьими лицами (аутсорсинг), т.е. оказа­ние специализированной оперативной помощи в случаевнештат­ных ситуаций, периодическое обновление специального и общего системного программного обеспечения в случае появления новых атак и уязвимостей.

Организация и технологии разработки специализированных комплексов, систем и средств зашиты информации принципи­ально не отличаются от используемых в других отраслях создания высокотехнологичной продукции, в частности средств вычисли­тельной техники. Основная номенклатура должностей традиционна для высокотехнологичных предприятий: конструктор по на­ладке и испытаниям; конструктор по стандартизации; програм­мист; технолог; электроник; техник по наладке и испытаниям.

Бурный процесс информатизации и, как следствие, все возра­стающая актуальность обеспечения требований информационной безопасности приводят к необходимости видоизменения и допол­нения номенклатуры специалистов.

Широкое распространение общепризнанной международной практики проведения такого вида услуги, как аудит информационной безопасности, привело к по­явлению специалистов нового профиля — аудиторов, которые осуществляют свою деятельность в соответствии с рекомендациямиотечественных и международных стандартов.

К таким стандар­там относятся:

-             ГОСТ Р ИСО/МЭК 17799-2005 «Информационная техноло­гия — Практические правила управления информационной без­опасностью»;

-              ИСО/МЭК 17799-2000 «Информационная технология. Ко­декс установившейся практики для менеджмента информацион­ной безопасностью»;

-             BS7799 «Управление информационной безопасностью. Прак­тические правила»;

-            вторая часть BS7799-2:2002 «Системы управления информа­ционной безопасностью — спецификация с руководством по ис­пользованию».

Сертификационно-испытательные центры и лаборатории за­нимают особое место среди предприятий и организаций — ли­цензиатов в области обеспечения безопасности и защиты инфор­мации. Эти организационные структуры обеспечивают необходи­мую поддержку такой функции государственно-общественного ре­гулирования в области информационной безопасности, как сер­тификацию средств и оценки качества оказания услуг по защите информации.

Наряду с лицензированием своей деятельности в области за­щиты информации указанные центры и лаборатории должны прой­ди дополнительно обязательную организационно-правовую про­цедуру — аккредитацию в качестве сертификационно - испытательных структур, которая в настоящее время осуществляется исклю­чительно уполномоченными органами исполнительной власти. Реформа законодательства о техническом регулировании пока не дает четкой правовой основы использования обязательной серти­фикации как механизма независимого подтверждения качества продукции и услуг в области информационной безопасности, но и не отменяет возможность применения такого механизма, по крайней мере в системе сертификации продукции, работ и услуг, средств и комплексов защиты сведений, составляющих государ­ственную тайну.

Наработанные практикой за более чем десятилет­ний период организационно-технологические процедуры в целом могут также с успехом применяться в системах добровольной сер­тификации. Поэтому существующие сертификационно-испытательные центры (лаборатории) по-прежнему будут играть ключевую роль в процессах подтверждения соответствия средств, комплек­сов и систем защиты установленным требованиям по безопаснос­ти информации. Номенклатура указанных должностей подобных структур также может быть дополнена новой категорией специа­листов, например, «оценщик», или специалист по оценке защи­щенности информационных технологий, предусмотренной стан­дартом ГОСТ Р ИСО/МЭК 15408-2002 «Общие критерии оцен­ки безопасности информационных технологий».

Аттестационные центры наряду с сертификацией средств, ра­бот и услуг в области обеспечения информационной безопасно­сти осуществляют относительно похожие процедуры подтвержде­ния соответствия, называемые аттестацией объектов информати­зации.

Как правило, по объему и характеру работ традиционные атте­стационные центры (лаборатории) не имеют существенных отли­чительных особенностей по сравнению с сертификационно-испытательными центрами, а наиболее известные отечественные компании — поставщики услуг в области защиты информации — имеют аккредитацию по обоим видам деятельности и, соответ­ственно, примерно одинаковую номенклатуру основных должно­стей.

Активно развивается также рынок образовательных услуг в об­ласти информационной безопасности по повышению квалифика­ции специалистов, руководителей служб безопасности, руково­дителей IT-подразделений, пользователей средств защиты, так как необходимым условием для получения лицензии на деятельность в области защиты информации является наличие персонала необ­ходимого уровня квалификации и подготовки. Однакосистема дополнительного образования в области информационной без­опасности пока находится в стадии формирования, чтозатрудняетвыделение ее типовых элементов.

Службы безопасности и защиты информации предприятий и организаций независимо от вида деятельности и формсобственно­сти являются самой распространенной организационнойструкту­рой в рассматриваемой области общественной деятельности и по существу составляют основу всей системы обеспечения информа­ционной безопасности предприятий, организаций и страны в це­лом. Поэтому целесообразно рассмотреть вопросы их функциони­рования более подробно.

Непосредственная деятельность по организации функциони­рования и эксплуатации комплексов обеспечения информацион­ной безопасности осуществляется штатными специалистами со­ответствующих структурных подразделений. Они должны иметь определенную квалификацию в соответствии с требованиями, установленными номенклатурой должностей и служащих. Типо­вые требования раскрываются в квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном Министерством труда и социального развития Рос­сийской Федерации.