Почему государственные секреты появляются в

Интернете ?

ФЕДИЧЕВ Андрей Валерьевичкандидат технических наук

Федеральные законы в области защиты информации

«О безопасности»Закон Российской Федерации от 5 марта 1992 года № 2446-I

(с изменениями и дополнениями от 1992 года № 4235-I; от 1993 года № 2288; от 2002 года № 116-ФЗ; от 2005 г. №15-ФЗ)

«О государственной тайне»

Закон Российской Федерации от 21 июля 1993 года № 5485-I(с изменениями и дополнениями от 6 октября 1997 г. № 131-ФЗ; от

2003 г. № 86-ФЗ; от 2003 г. № 153-ФЗ; от 2004 г. № 58-ФЗ; от 2004 г. № 122-ФЗ)

«О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 года № 128-ФЗ(с изменениями и дополнениями от 2002 г. №28-ФЗ, от 2002

№31-ФЗ; от 2002 г. №164-ФЗ; от 2003 г. №17-ФЗ; от 2003 г. №29-ФЗ; от 2003 г. №32-ФЗ; от 2003 г. №36-ФЗ; от 2003 г. №185-ФЗ;

от 2004 г. № 127-ФЗ; от 2005 г. № 20-ФЗ)

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 года № 195-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30

июня 2003 г. №86-ФЗ)

Уголовный кодекс Российской Федерации

От 13 июня 1996 года № 63-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 8

декабря 2003 г. №162-ФЗ)

«Об электронной цифровой подписи»

Федеральный закон от 10 января 2002 года № 1-ФЗ

«О техническом регулировании» Федеральный закон от 27 декабря 2002 года № 184-Ф3 (с изменениями и дополнениями от 9 мая 2005 г. № 45-ФЗ)

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 года № 149-ФЗ

«О персональных данных» Федеральный закон от 27 июля 2006 года № 152-ФЗ

Закон РФ «О государственной тайне» от 21 июля 1993 г. № 5485-1

Определяет основные понятия, полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты.

Дает перечень сведений, которые могут быть отнесены к государственной тайне.

Указывает принципы засекречивания сведений, перечисляет сведения, не подлежащие засекречиванию.

Устанавливает степени секретности сведений и грифы секретности носителей этих сведений.

• государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

• система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

Степени секретности сведений и грифы секретности носителей этих сведений

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения указанных сведений.

особой важностиособой важностисовершенно секретносовершенно секретно

секретносекретно

Гриф секретностиГриф секретности - реквизиты, свидетельствующие о - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной проставляемые на самом носителе и (или) в сопроводительной документации на него;документации на него;

• ФЗ “Об информации, информационных технологиях и о защите информации” от 27 июля 2006 года

Регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий и обеспечении защиты информации.

• информация – сведения (сообщения, данные) независимо от формы их представления;

• обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

• доступ к информации - возможность получения информации и её использования;

• Информация может являться объектом публичных, гражданских и иных правовых отношений.

• Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Классификация информации по категории доступаКлассификация информации по категории доступа

ИНФОРМАЦИЯ

Общедоступная Доступ к которой ограничен федеральными законами

(информация ограниченного доступа)

Обладатель информацииПрава:• разрешать или ограничивать доступ к информации, определять

порядок и условия такого доступа;• использовать информацию, в том числе распространять ее, по

своему усмотрению;• передавать информацию другим лицам по договору или на

ином установленном законом основании;• защищать установленными законом способами свои права в

случае незаконного получения информации или ее незаконного использования иными лицами;

• осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обязанности:• соблюдать права и законные интересы иных лиц;• принимать меры по защите информации;• ограничивать доступ к информации, если такая обязанность

установлена федеральными законами.

Об утверждении Концепции национальной безопасности Российской Федерации

Указ Президента Российской Федерации от 1997 года № 1300 (с изменениями и дополнениями от 10 января 2000 года № 24)

Вопросы Федеральной службы по техническому иэкспортному контролю

Указ Президента Российской Федерации  от 16 августа 2004 года № 1085 (с изменениями и дополнениями от 2005 г. №

330; от 2005 г. №846; от 2006 г. № 1321)

Вопросы Межведомственной комиссии по защите государственной тайны

Указ Президента Российской Федерации от 2004 г. № 1286

Об утверждении Перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации от 1995 года № 1203 (с изменениями и дополнениями от 1998 года № 61; от 2001

года № 659; от 2001 года № 1114; от 2002 года № 518; от 2005 г. № 243; от 2006 г. № 90)

Об утверждении Перечня должностных лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне

Распоряжение Президента Российской Федерации от 2005 г. № 151-рп

Об утверждении Перечня сведенийконфиденциального характера

Указ Президента Российской Федерации от 1997 года № 188

О составе межведомственного коллегиального органа - коллегии Федеральной службы по техническому и экспортному контролю

Распоряжение Президента Российской Федерации от 2005 г. № 298-рп

Об учреждении флага Федеральной службы по техническому и экспортному контролю

Указ Президента Российской Федерации от 2005 г. № 1364

О реестре должностей федеральной государственной гражданской службы

Указ Президента Российской Федерации от 2005 г. № 1574

Указы и распоряжения Президента Российской Федерации

Положения по защите информацииПоложение о Федеральной службе по техническому иэкспортному контролю

Утверждено Указом Президента Российской Федерации от 16 августа 2004 года № 1085

Положение о Межведомственной комиссии по защитегосударственной тайны

Утверждено Указом Президента Российской Федерации от 6 октября 2004 г. № 1286

Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по

защите государственной тайны

Утверждено постановлением Правительства Российской Федерации от 15 апреля 1995 года № 333 (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 30 апреля 1997 г. № 513; от 29 июля 1998 г. № 854; от 3 октября 2002 г. № 731; от 17 декабря 2004 г. № 807)

Положение о лицензировании образовательной деятельности

Утверждено постановлением ПравительстваРоссийской Федерации от 18 октября 2000 года

№ 796 (с изменениями и дополнениями от 3 октября 2002 г. №731)

Положение о государственном лицензировании деятельности в области защиты информации

Решение Гостехкомиссии России и ФАПСИот 27 апреля 1994 года № 10 (с дополнениями

от 24 июня 1997 года № 60)

Положение о лицензировании разработки авиационной техники, в том числе авиационной техники двойного назначения

Утверждено постановлением ПравительстваРоссийской Федерации от 27 мая 2002 года №

346 (с изменениями и дополнениями от 3 октября 2002 года № 731)

Положение о лицензировании производства авиационной техники, в том числе авиационной техники двойного назначения

Утверждено постановлением ПравительстваРоссийской Федерации от 27 мая 2002 года №

346 (с изменениями и дополнениями от 3 октября 2002 года № 731)

Положение о лицензировании ремонта авиационной техники, в том числе авиационной техники двойного назначения

Утверждено постановлением ПравительстваРоссийской Федерации от 27 мая 2002 года №

346 (с изменениями и дополнениями от 3 октября 2002 года № 731)

Положение о лицензировании производства оружия и основных частей огнестрельного оружия

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 455 (с

изменениями и дополнениями от 2002 года № 731)

Положение о лицензировании деятельности в области 

вооружения и военной техники

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 456 (с

изменениями и дополнениями от 2002 года № 731)

Положение о лицензировании разработки ипроизводства боеприпасов

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 467 (с

изменениями и дополнениями от 2002 года № 731)

Положение о лицензировании утилизации боеприпасов

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 467 (с

изменениями и дополнениями от 2002 года № 731)

Положение о лицензировании производствапиротехнических изделий

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 467 (с

изменениями и дополнениями 2002 года № 731)

Положение о лицензировании деятельности по распространению пиротехнических изделий IV и V классов в соответствии с государственным стандартом

Утверждено постановлением ПравительстваРоссийской Федерации от 2002 года № 467 (с

изменениями и дополнениями от 2002 года № 731)

Положение о лицензировании деятельности по технической защите конфиденциальной информации

Утверждено постановлением ПравительстваРоссийской Федерации от 15 августа 2006 г. № 504

Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации

Утверждено постановлением ПравительстваРоссийской Федерации от 31 августа 2006 г. № 532

Положение о лицензировании деятельности по международному информационному обмену

Утверждено постановлением ПравительстваРоссийской Федерации от 1998 года № 564 (с

изменениями и дополнениями от 2002 года № 731)

Положения по защите информации

На сайте Федерального агентства по техническому регулированию и метрологии размещены

ГОСТ Р 52447-2005   Защита информации. Техника защиты информации. Номенклатура показателей качества

ГОСТ Р 52069.0-2003   Защита информации. Система стандартов. Основные положения

ГОСТ Р 50922-2006   Защита информации. Основные термины и определения

ГОСТ Р 52448-2005   Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

ГОСТ Р 51275-2006   Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 52633-2006   Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации

ГОСТ Р 52863-2007  Защита информации. Автоматизированные системы в защищенном

исполнении испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования

ГОСТ Р 34.10-2001  Информационная технология. Криптографическая защита

информации. Процессы формирования и проверки электронной цифровой подписи

ГОСТ 34.311-95   Информационная технология. Криптографическая защита информации. Функция хэширования

ГОСТ Р 34.11-94   Информационная технология. Криптографическая защита информации. Функция хэширования

ГОСТ Р 51188-98   Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство

Угрозы безопасности информации

По фактору возникновения

Природные Техногенные Антропогенные

По виду нарушения

Угрозы конфиденциальности

Угрозы целостностиУгрозы доступности

По деструктивному воздействию

Модификация БлокированиеХищение Уничтожение Разглашение

По способуреализации

С использованием технических средств

перехвата информации

Угрозы воздействия по физическим полям

Угрозы НСД

По используемым средствам доступа

Без использования программного обеспечения

С использованием программного обеспечения

Кража носителя, элементов оборудования

Физическое разрушение носителя, элементов оборудования

Угрозы удаленного доступа

Угрозы непосредственного доступа, с использованием средств ОС,

или специальных программ

Анализ способов несанкционированного получения информации

26 %

28 %

34 %

12 %

Внутренний нарушитель

Внешний нарушитель

Кража (утеря) оборудования

Другие способы

Проведение мероприятий закрытого характера в помещениях, не предназначенных для этих целей

Подключение к автоматизированным системам, обрабатывающих информацию ограниченного

доступа , неучтенных носителей на основе «Flash-памяти»

Несоответствие настроек средств защиты информации от несанкционированного доступа установленным требованиям, отключение средств защиты информации

Использование аппаратов правительственной связи в неаттестованных помещениях

Недостаточный уровень знаний руководителей всех уровней и исполнителей по вопросам технической защиты информации

Подключение автоматизированных систем, обрабатывающих информацию ограниченного доступа, к сети «Интернет»

Типовые недостатки в области технической защиты Типовые недостатки в области технической защиты информацииинформации

Самовольное изменение состава оборудования и программного обеспечения, аттестованных по требованиям безопасности информации объектов вычислительной техники

Размещение в помещениях, где обсуждаются закрытые вопросы, технических средств, подключенных к сети «Интернет»

Причины: - разрушена система подготовки студентов в высшей школе по вопросам государственной тайны; - недостаточное внимание руководителей всех уровней к вопросам ТЗИ; - невыполнение отдельными сотрудниками приказов, распоряжений руководителей; - несоответствие количества объектов информатизации, аттестованных по требованиям безопасности информации, объему обрабатываемой информации ограниченного доступа; - недостаточно налаженная система контроля за исполнением собственных приказов по вопросам корпоративной безопасности; - отсутствие структурных подразделений по ТЗИ и недостаточный уровень подготовленности по вопросам ТЗИ специалистов; - плохая оснащенность техническими средствами контроля; - недостаточность мер по приведению корпоративных нормативных правовых актов в соответствие с требованиями законов Российской Федерации в области защиты информации ограниченного доступа, составляющих государственную тайну и не содержащей сведений, составляющих государственную тайну.

ПОСЛЕДСТВИЯ- Проблемы со специальным службами

(расследования по фактам разглашения государственной тайны);

- Уголовная и административная ответственность согласно законам Российской Федерации;

- WikiLeaks (потеря деловой репутации, распространение компромата на собственника информации);

- Проблема уволенного менеджера (потеря критически важной информации).