Основы информационной безопасности ОВД
Содержание
1. Необходимость, назначение и общее содержание организационно-правового обеспечения информационной безопасности 3
2. Методы и специальные технические средства, используемые в ходе поисковой операции в целях обеспечения защиты информации 13
Список использованной литературы 19
1. Необходимость, назначение и общее содержание организационно-правового обеспечения информационной безопасности
В настоящее время принято говорить о новом витке в развитии общественной формации – информационном обществе. Информация становится сегодня главным ресурсом мирового сообщества. Практически любая деятельность человека тесно связана с получением, хранением, обработкой и использованием разнообразной информации. Современное общество широко пользуется благами компьютеризации и информатизации.
Владение информационными
ресурсами и рациональное их использование
создают условия оптимального управления
обществом. И напротив, искажение
информации, блокирование ее получения,
использование недостоверных
Высокую опасность для
общества и дополнительные проблемы
для правоохранительных органов
создают усиливающийся
Несанкционированный доступ различных криминальных и ком-мерческих структур к служебной и конфиденциальной информации позволяет этим структурам, в частности, уклоняться от своих налоговых обязанностей, совершать иные правонарушения, противодействовать правоохранительным органам и органам исполнительной власти.
Следовательно, проблема организационно-правового обеспечения информационной безопасности имеет важное практическое значение для обеспечения безопасности всего мирового сообщества в целом и отдельной личности в частности.
Организационно-правовое обеспечение информационной безопасности - это совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать следующие основные функции:
1) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;
2) определение системы
органов и должностных лиц,
ответственных за обеспечение
информационной безопасности в
стране и порядка
3) создание полного комплекса
нормативно-правовых
4) определение мер
5) определение порядка
разрешения спорных и
Под юридическими аспектами
организационно-правового
- обязательность соблюдения норм и правил защиты информации всеми лицами, имеющими отношение к защищаемой и конфиденциальной информации;
- нормативное правовое закрепление всех мер ответственности за нарушение порядка и правил защиты информации;
- придание юридической силы всем технико-математическим решениям в области организационно-правового обеспечения защиты информации;
- процессуальное оформление процедур разрешения ситуаций, складывающихся при обеспечении информационной безопасности и защите информации.
Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми актами.
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов РФ.
Существует следующая структура правовых актов, ориентированных на правовую защиту информации:
- Международные акты информационного законодательства;
- Конституция Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44);
- Специальное законодательство, содержащее нормы, целиком посвященные вопросам информации;
- Нормативно-правовые акты, которые включают отдельные информационно-правовые нормы.
Рассмотрим специальное законодательство в области информационной безопасности.
Основополагающим среди российских актов следует считать Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"1.
Закон приводит понятийный аппарат
и механизмы регулирования в соответствие
с практикой применения информационных
технологий, определяет правовой статус
различных категорий информации, закрепляет
положения о регулировании создания и
эксплуатации информационных систем,
общие требования к использованию информационно-
Установлены основные правила и способы защиты прав на информацию, защиты самой информации путем принятия основных правовых, организационных и технических (программно-технических) мер по ее защите.
Закон РФ от 21.07.1993 N 5485-1 "О государственной тайне"2 регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ.
Положения Закона обязательны для исполнения на территории РФ и за ее пределами органами представительной, исполнительной и судебной властей, МСУ, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФ о государственной тайне.
Под государственной тайной
понимаются защищаемые государством сведения
в области его военной, внешнеполитической,
экономической, разведывательной, контрразведывательной
и оперативно-розыскной
За обеспечением защиты государственной
тайны предусмотрены
Федеральный закон от 28.12.2010 N 390-ФЗ "О безопасности"3 закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет полномочия и функции федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в области безопасности, а также статус Совета Безопасности Российской Федерации.
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне"4 регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности и предупреждением недобросовестной конкуренции.
Под коммерческой тайной понимается
конфиденциальность информации, позволяющая
ее обладателю при существующих или
возможных обстоятельствах
Законом определяются права обладателя коммерческой тайны, регулируются отношения, связанные с коммерческой тайной, полученной при выполнении государственного контракта для государственных нужд. Также устанавливаются требования к охране конфиденциальности информации, составляющей коммерческую тайну, в том числе при трудовых отношениях и в гражданско-правовых отношениях.
Предусматривается ответственность за нарушение законодательства РФ о коммерческой тайне.
Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) "Об электронной цифровой подписи"5 определяет правовые условия использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи в документе на бумажном носителе. Под электронной цифровой подписью (далее - ЭЦП) понимается реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Устанавливаются условия использования ЭЦП, определяется статус удостоверяющих центров, выдающих сертификаты ключей подписей, а также некоторые особенности использования ЭЦП.
Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ6 содержит нормы относительно преступлений в сфере компьютерной информации (ст. 272, 273, 274).
Статья 272 УК РФ посвящена
неправомерному доступу к компьютерной
информации. Статья 273 УК РФ регулирует
отношения в сфере создания, использования
и распространения вредоносных компьютерных
программ. Статья 274 УК РФ предусматривает
ответственность за нарушение правил
эксплуатации средств хранения, обработки
или передачи компьютерной информации
и информационно-
Кроме перечисленных нормативно-
Перейдем к рассмотрению организационной составляющей организационно-правового обеспечения защиты информации.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.
Организационная защита обеспечивает:
− организацию охраны, режима, работу с кадрами, с документами;
− использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз безопасности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
Организационные мероприятия
- это мероприятия
К основным организационным мероприятиям можно отнести:
− организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;
− создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;
− контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;
− организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
− организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
− организацию работы с
документами и
− организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
− организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
− организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
− определение границ охраняемой зоны (территории);
− определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;
− определение «опасных», с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
− выявление возможных
путей проникновения к
− реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.
Организационные мероприятия выражаются в тех или иных ограничительных мерах.
Можно выделить такие ограничительные меры, как территориальные, пространственные и временные (примечание 1 к ст. 2 . ГОСТ Р 50922-200610).
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей.
Таким образом, организационно-правовое обеспечение информацион-ной безопасности является одним из направлений защиты информационных прав и свобод государства и личности.
2. Методы и специальные технические средства, используемые в ходе поисковой операции в целях обеспечения защиты информации
Система защиты информации подразумевает единую совокупность как организационных, так и технических мероприятий на основе внедрения технических методов и средств защиты информации, направленных на предупреждение различных видов угроз опасности, их выявление, отражение и ликвидацию.
Исходя из построенной
модели нарушителя, анализа оперативно-
1. Техника, предназначенная для поиска, обнаружения, локализации «атакующих» технических средств прослушивания (радиомикрофонов, микропередатчиков, телефонных ретрансляторов).
2. Технические средства
обеспечения скрытности
3. Технические средства защиты от внешних излучений.
4. Технические средства — постановщики шумовых помех.
5. Вспомогательные технические средства.
В настоящее время на вооружении
органов внутренних дел находится
разнообразная поисковая
Выполнение поисковых
мероприятий является комплексной
задачей, которая решается в процессе
разработки организационно-технических
мер противодействия
Поисковые мероприятия представляют собой довольно сложную задачу, включающую предварительную оперативную и техническую подготовку, а также и отработанную технологию проведения поиска вероятных мест установления устройств съема информации. Целью проведения этих мероприятия является определение вероятного нарушителя, оценка его оперативных возможностей и технической поддержки по несанкционированному съему информации.
Как правило, организация проведения поисковых мероприятий включает два этапа11:
1. Подготовка поискового мероприятия:
- изучение объекта;
- подготовка к проведению поисковых работ.
2. Проведение поискового мероприятия:
- контроль радиоэфира;
- визуальный осмотр помещений объекта;
- проверка средств оргтехники;
- проверка предметов интерьера;
- проверка электроустановочной арматуры;
- проверка
По окончании поисковых мероприятий составляется заключение о степени защищенности объекта от несанкционированного съема конфиден-циальной информации, рекомендации по локализации вероятных каналов ее утечки и мерах организационно-технической защиты объекта от «нападения».
При выборе и использовании
поисковой техники необходимо учитывать,
что поисковые приборы
Обнаружение электронных устройств перехвата информации (закладных устройств), так же как и любых других объектов, производится по их демаскирующим признакам.
Поиск и обнаружение закладных устройств может осуществляться визуально, а также с использованием специальной аппаратуры: детекторов диктофонов и видеокамер, индикаторов поля, радиочастотомеров и интерсепторов, сканерных приемников и анализаторов спектра, программно-аппаратных комплексов контроля, нелинейных локаторов, рентгеновских комплексов, обычных тестеров, а также специальной аппаратуры для проверки проводных линий и т.д.
Метод поиска закладных устройств во многом определяется использованием той или иной аппаратуры контроля. К основным методам поиска закладных устройств можно отнести13:
– специальное обследование помещений;
– поиск радиозакладок с использованием индикаторов поля, радиочастотомеров и интерсепторов;
– поиск радиозакладок с использованием сканерных приемников и анализаторов спектра;
– поиск радиозакладок с использованием программно-аппаратных комплексов контроля;
– поиск портативных
– поиск портативных
– поиск закладок с использованием нелинейных локаторов;
– поиск закладок с использованием рентгеновских комплексов;
– проверка с использованием ВЧ-пробника (зонда) линий электропитания, радиотрансляции и телефонной связи;
– измерение параметров линий электропитания, телефонных линий связи и т.д.;
– проведение тестового "прозвона" всех телефонных аппаратов, установленных в проверяемом помещении, с контролем (на слух) прохождения всех вызывных сигналов АТС.
Простейшими обнаружителями
радиоизлучений закладных устройств
являются индикаторы электромагнитного
поля, которые световым или звуковым
сигналом сигнализируют о наличии
в точке расположения антенны
электромагнитного поля с напряженностью
выше пороговой (фоновой). Более сложные
из них – частотомеры
Для обнаружения излучений закладных устройств в ближней зоне могут использоваться и специальные приборы, называемые интерсепторами. Интерсептор автоматически настраивается на частоту наиболее мощного сигнала и осуществляет его детектирование. Некоторые интерсепторы позволяют не только производить автоматический или ручной захват радиосигнала, осуществлять его детектирование и прослушивание через динамик, но и определять частоту обнаруженного сигнала и вид модуляции.
Чувствительность
Существенно лучшую чувствительность имеют профессиональные радиоприемники с автоматизированным сканированием радиодиапазона (сканерные приемники или сканеры). Они обеспечивают поиск в диапазоне частот, перекрывающем частоты почти всех применяемых радиозакладок – от десятков кГц до единиц ГГц. Лучшими возможностями по поиску радиозакладок обладают анализаторы спектра. Кроме перехвата излучений закладных устройств они позволяют анализировать и их характеристики, что немаловажно при обнаружении радиозакладок, использующих для передачи информации сложные виды сигналов.
Возможность сопряжения сканирующих приемников с переносными компьютерами послужило основой для создания автоматизированных комплексов для поиска радиозакладок (так называемых программно-аппаратных комплексов контроля). Кроме программно-аппаратных комплексов, построенных на базе сканирующих приемников и переносных компьютеров, для поиска закладных устройств используются и специально разработанные многофункциональные комплексы.
Специальные комплексы и
аппаратура для контроля проводных
линий позволяют проводить
Обнаружители пустот позволяют обнаруживать возможные места установки закладных устройств в пустотах стен или других деревянных или кирпичных конструкциях.
Большую группу образуют средства
обнаружения или локализации
закладных устройств по физическим
свойствам элементов
Принципы работы нелинейных
радиолокаторов близки к принципам
работы радиолокационных станций, широко
применяемых для
Металлоискатели (металлодетекторы) реагируют на наличие в зоне поиска электропроводных материалов, прежде всего металлов, и позволяют обнаруживать корпуса или другие металлические элементы закладки.
Переносные рентгеновские
установки применяются для
Достоверное обнаружение закладок возможно при комплексном применении аппаратуры, выявляющей прямые и косвенные демаскирующие признаки
В заключение необходимо отметить, что соблюдение информационной безопасности это задача не отдельной страны, а всего человечества, так как высокоразвитая компьютерная преступность наших дней давно вышла на мировой уровень. Поэтому эффективная борьба с ней возможна только при тесном сотрудничестве правоохранительных органов разных стран мира. Необходимо строить совместный комплекс мер и средств, набирать и готовить высококвалифицированные кадры, детально разрабатывать основные принципы политики безопасности, без которых невозможно нормальное развитие общества.
Список использованной литературы
- Конституция Российской Федерации"
(принята всенародным
голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ) // Российская газета. – 2009. –янв. - N 7. - Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 08.12.2011) // Собрание законодательства РФ. – 2006. - N 52 (1 ч.). - Ст. 5496.
- Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 28.07.2012) // Собрание законодательства РФ. – 1996. - N 25. - Ст. 2954.
- Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 28.07.2012) // Собрание законодательства РФ. – 2002. - N 1 (ч. 1). - Ст. 3.
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 21.07.2011) "Об информации, информационных технологиях и о защите информации" //
- Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.11.2011) "О государственной тайне" // Собрание законодательства РФ. – 1997. - N 41. – Ст. 8220-8235.
- Федеральный закон от 28.12.2010 N 390-ФЗ "О безопасности" // Собрание законодательства РФ. – 2011. - N 1. - Ст. 2.
- Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне" // Собрание законодательства РФ. – 2004. - N 32. - Ст. 3283.
- Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) "Об электронной цифровой подписи" // Собрание законодательства РФ. – 2002. - N 2. - Ст. 127.
- ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст). - М., Стандартинформ, 2008.
- ГОСТ Р 53113.2-2009. "Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов".
- Защита от утечки информации по техническим каналам: учеб. пособие / Г.А. Бузов, С.В. Калинин, А.В. Кондратьев. - М.: Горячая линия-Телеком. 2005. – 416 с.: ил.
- Информационная безопасность и защита информации: учеб. пособие. - Р.-н/Д, 2004.
- Оперативно-розыскная деятельность: учебник / Под ред. К.К. Горяинова, В.С. Овчинского, Г.К. Синилова, А.Ю. Шумилова. - 2-е изд., доп. и перераб. - М.: ИНФРА-М, 2004. - 848 с.
- Основы информационной безопасности: учеб. пособие / Е.Б. Белов, В.П. Лось [и др.]. - М.: Горячая линя - Телеком, 2006. — 544 с.
- Специальная техника органов внутренних дел. Часть 1: учебник / Под общей ред. Ю.А. Агафонова — Краснодар: КрУ МВД России, 2011. — 245 с.: ил.
- Специальная техника органов внутренних дел: учебник / Под ред. В.Л. Попова. – М.: ЦИиНМОКП МВД России, 2000. – 275 с.
- Торокин А.А. Инженерно-техническая защита информации: учеб. пособие. – М.: Гелиос АРВ, 2005.