Shunday qilib, K. Shennon tomonidan aniqlangan "axborot" tushunchasining taniqli mazmuni [Shannon, 1963; Shannon, 1978], bu xabardagi oldindan aytib bo'lmaydigan miqdorni aks ettiradi
Zamonaviy axborot jamiyatining markaziy tushunchalaridan biri, uning moddiy, energetika va axborot sohalari - bu "axborot" tushunchasi, siz bilganingizdek, mavhum kategoriyalar, birlamchi tushunchalarni anglatadi va uning mazmunini tushunish quyidagilardan iborat. eng keng, umumiy tizimli, falsafiy ma'no, shu jumladan, boshqaruv tizimi tomonidan atrofdagi tashqi moddiy dunyodan, tizimning o'zida sodir bo'ladigan jarayonlardan qabul qilinadigan materiyaning xususiyatlari sifatida [Agapov, 1999; Falsafiy lug'at, 1991; Belevskaya, Fisun, 2014] va yaratish, to'plash, qayta ishlash, to'plash, saqlash, qidirish, tarqatish, iste'mol qilish ob'ekti bo'lgan u yoki bu shaklda taqdim etilgan ma'lum ma'lumotlarni aks ettiruvchi eng tor, texnokratik va pragmatik [Berg, 1966], "axborot" va "xabar" tushunchalarini aniqlaydi, bunda ma'lumot qabul qiluvchi uchun xabarning muhim qismi, xabar esa ma'lumotning moddiy tashuvchisi, cheklangan yoki o'ziga xos elementlardan biri sifatida belgilanadi. Aloqa kanali orqali uzatiladigan va ma'lum bir qabul qiluvchi tomonidan aloqa tizimini qabul qilishda qabul qilinadigan cheksiz to'plam [Berg, 1966].
Shunday qilib, K. Shennon tomonidan aniqlangan "axborot" tushunchasining taniqli mazmuni [Shannon, 1963; Shannon, 1978], bu xabardagi oldindan aytib bo'lmaydigan miqdorni aks ettiradi. Bu erda ma'lumot miqdori ushbu xabar qabul qiluvchini o'rab turgan sohaga kiritadigan yangilik o'lchovidir. Xartli va Shennon asarlarida ma'lumot bizning oldimizda faqat tashqi qobig'ida paydo bo'ladi, bu signallar, belgilar, xabarlarning bir-biriga bo'lgan munosabatlari - sintaktik munosabatlar bilan ifodalanadi. Xartli-Shannon miqdoriy o'lchovi uzatilgan xabarning mazmunini (semantik) yoki qiymatini, foydali (pragmatik) tomonlarini baholashga da'vo qilmaydi [Shannon, 1963; Shannon, 1978], bu ko'pincha zamonaviy tadqiqotchilar tomonidan e'tiborga olinmaydi, chunki "axborot" tushunchasini uning mazmunining ma'nosini hisobga olmasdan, uni "bilim", "ma'lumotlar" tushunchalari bilan aniqlaydi. Ilmiy bayonotlar Amaldagi "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida"gi Federal qonunning asosiy qoidalarini hisobga olgan holda shuni ta'kidlash kerakki, terminologik asosning semantikasi nuqtai nazaridan tushunchalar ko'proq hujjatlashtirilgan, aytish mumkinki, texnik tushunchalarga tegishli. axborotni taqdim etish shakllari va axborot sohasidagi huquqiy munosabatlarning asosiy ob'ekti sifatida ma'lumotlarning mazmunini to'liq aks ettirmaydi. Bu umumiylikning ancha yuqori darajasida bo'lsa ham, "axborot" ning taqdim etish shaklidan qat'i nazar, ma'lumot (xabarlar, ma'lumotlar) sifatida ta'rifi bilan tasdiqlanadi. Shu bilan birga, "xabar", "ma'lumotlar", "taqdim etish shakli" atamalarining mazmuni qonun chiqaruvchi tomonidan belgilanmagan. Taqqoslash uchun, ilgari 2006 yilgacha amalda bo'lgan "Axborot, axborotlashtirish va axborotni himoya qilish to'g'risida" Federal qonunida ma'lumotlarning mazmuni, garchi u umumiylikning past darajasi bilan ifodalangan bo'lsa ham, ma'lumot atamasining semantik mazmunini uning o'ziga xos xususiyatlari bilan cheklab qo'ygan. , fan va amaliyot munosabatlarida haqiqatda mavjud bo'lgan axborot ob'ekti sifatida "... ob'ektlar, ob'ektlar, hodisalar, jarayonlar to'g'risidagi ma'lumotlar, ularni taqdim etish shaklidan qat'i nazar" [1995 yil 20 fevraldagi 24-FZ], ammo, bunday mazmun ma'noli ommaviy axborot munosabatlarini bir ma'noda shakllantirish imkoniyatini berdi. Ko'rib chiqilayotgan axborot atamalarining mazmuni to'g'ridan-to'g'ri yoki bilvosita moddiy va energiya sohalarining muhim qismining ommaviy axborot munosabatlarini va axborot ushbu munosabatlarning ob'ekti bo'lgan shaxs, jamiyat va davlat faoliyatini tavsiflashini hisobga olgan holda, qiyinchiliklar yuzaga keladi. axborot mazmunini aniq belgilashda. Muallifning ushbu sohadagi mashhur olim va mutaxassislarning ilmiy qarashlari tahlili [Belevskaya, Fisun, 2014] axborotning huquqiy kategoriya sifatida bir ma'noli va nisbatan to'liq ta'rifini shakllantirish qiyinligi tufayli uning mazmunini shakllantirish va undan foydalanishni taklif qiladi. har bir ta'rif mavjud bo'lish huquqiga ega bo'lgan ma'lum falsafiy toifalarni hisobga olgan holda amalga oshiriladi, shu bilan birga kontseptsiyaning ta'rifini ma'lum bir tarkibga kiritish noto'g'ri bo'ladi [qarang. Ventskovskiy, 1982]. Qonun hujjatlarida qabul qilingan “axborot” atamasining mazmuni, uning tarkibiy belgilari va hosilaviy atamalari “axborot”, “xabar”, “maÿlumotlar” va boshqalar belgilanmaganligi yoki bir maÿnoda aniqlanmaganligini, shuningdek, hisobga olingan holda. Boshqa fanlardagi ma'lumotlarning mazmunini aniqlash bo'yicha taniqli natijalar, muallif axborot atamasini shakllantirish, baholash, mazmunini aniqlashda uni shakllantirishning bir qator xususiyatlarini hisobga olishni zarur deb hisoblaydi, ular bo'lishi mumkin. quyidagi bayonotlar bilan ifodalanadi: bayonot 1. Axborot tashqi, ob'ektiv, dunyoga nisbatan bir qiymat o'lchoviga ega bo'lgan va boshqa qiymat o'lchoviga ega bo'lgan ma'lum bilim deb hisoblanadi - qabul qiluvchiga (sub'ektga) nisbatan, u tomonidan to'plangan ma'lum va o'ziga xos bilimlarga ega bo'lgan, ma'lum kognitiv maqsadlar va vazifalar. axborot mazmuni uning xususiyatlarini hisobga olish asosida, uning mazmunining ob'ektiv va sub'ektiv shakllanishini belgilaydigan ikki tomonlamalik turiga qarab belgilanadi; bayon 2. Axborot mavhum kategoriya bo‘lib, tevarak-atrofdagi olamning moddiy va energetik obyekti bo‘lmay, jonli va jonsiz tabiatning atributi bo‘lgan moddiy tashuvchi, tabiiy va sun’iy tabiat tizimlari (inson miyasi) bilan uzviy bog‘liqdir. , maxsus material tashuvchilar); bayon 3. Axborot atamasi mazmuni va uning xossalarining xilma-xilligi va xilma-xilligi bilan bog‘liq holda axborotning bir ma’noli va yagona tushunchasini shakllantirish jarayonining murakkabligi axborot fani tomonidan to‘plangan tizimli yondashuv va usullardan keng foydalanishni taqozo etadi. ; 106 Ilmiy bayonotlar bayonot 4. Axborotni atrofdagi olam ob'ekti tomonidan voqelikning aks etishi sifatida ko'rib, ma'lumot haqida o'z-o'zidan mavjud bo'lgan va shunday bo'lgani uchun ma'lumotdan foydalanish (qabul qilish, qayta ishlash, uzatish, saqlash, qayta ishlash) mumkin bo'lmagan mavhum kategoriya sifatida gapirish mumkin. va boshqalar) zarur va yetarli atribut sifatida moddiy tashuvchisiz, bu axborot mazmunini faqat moddiy va energiya dunyosi haqiqati doirasida ko'rib chiqishni nazarda tutadi. Shunday qilib, axborot, huquqiy kategoriya sifatida, moddiy tashuvchida mustahkamlangan, ilgari tajribali idrok (vakolat)ning shaxs ongida takrorlanish shaklidan qat'i nazar, huquqiy voqelikning ob'ektiv dunyosini tushunish natijasidir. Axborot atamasining bunday mazmunidan foydalanish o'zini oqlaydi, chunki axborotni yaratish, to'plash, qayta ishlash, to'plash, saqlash, qidirish, tarqatish, iste'mol qilish jarayonida huquqiy munosabatlarning aksariyati olingan natijalar sifatida aynan ma'lumotlarga nisbatan yuzaga keladi. voqelikni aqliy anglash jarayonida shaxs, jamiyat va davlatning moddiy va energetik sohada ham, axborot sohasida ham, muayyan vositalarda (axborot manbalarida) mavjud bo'lgan turli xil faoliyati. Axborot tushunchasining mazmunini huquqiy tartibga solish ob'ekti sifatida ko'rib chiqishning ahamiyati bilan bir qatorda axborot manbalariga ham katta ahamiyat beriladi. Axborot manbalarining mazmunini aniqlagan holda shuni ta'kidlash kerakki, axborot manbalarining mazmuni va turlarini bilish uning belgilangan sifatlarini, shu jumladan xavfsizligini ta'minlashning samarali mexanizmlarini amalga oshirishga imkon beradi [Gaikovich, Ershov, 1995], ularning ta'minlanishi fuqarolarning axborot huquqlari va erkinliklarini amalga oshirish va ta'minlash, zamonaviy jamiyat, davlat va ular foydalanadigan axborot-telekommunikatsiya texnologiyalari (AKT) va ijtimoiy-texnik tizimlar (ATS)ning axborot xavfsizligini ta'minlash bilan uzviy bog'liq va ajralmas. Shu sababli, axborot manbalari ham zamonaviy, axborot jamiyati va uning barcha sohalarini huquqiy tartibga solishning muhim ob'ekti hisoblanadi. Axborotni zamonaviy axborot jamiyatining markaziy kontseptsiyasi va uning huquqiy, axborot va telekommunikatsiya ilmiy-uslubiy asosi sifatida belgilab, biz axborot sohasidagi ommaviy axborot munosabatlarini rivojlantirishni birinchi navbatda uning axborot xavfsizligini ta'minlash bilan, umuman olganda, axborotni ta'minlash bilan bog'laymiz. zamonaviy jamiyat xavfsizligi, shaxs, jamiyat va davlat faoliyatining asosiy va eng muhim yo'nalishi va turi sifatida. Shu bilan birga, bunday faoliyatni amalga oshirishning samarali vositasi nisbatan to‘liq, izchil huquqiy nazariy-uslubiy asoslar asosida shakllanayotgan va rivojlanayotgan yetarli, nisbatan to‘liq, izchil qonunchilikdir. Zamonaviy jamiyatning huquq nazariyasi metodologiyasini ishlab chiqish muammosini shunday shakllantirishni hisobga olgan holda [Belevskaya, Fisun, 2014], axborot sohasidagi davlat siyosatining asosiy yo'nalishlarini va amaldagi qonunchilikni ko'rib chiqish [FZ No 2446- 1992 yil 5 martdagi I; 2006 yil 27 iyuldagi 149-son Federal qonuni; 1996 yil 27 maydagi 57-sonli Federal qonuni; 1996 yil 31 maydagi 61-sonli Federal qonuni], shu jumladan Rossiya Konstitutsiyasi va konstitutsiyaviy qonunchilikning boshqa normativ-huquqiy hujjatlari, zamonaviy sharoitlarda zamonaviy axborot jamiyatining axborot sohasini huquqiy tartibga solish muammosini kamaytirish mumkin degan xulosaga kelishimiz mumkin. shaxs, jamiyat, davlat xavfsizligini axborot bilan ta'minlash muammolarini hal qilish, ular tomonidan foydalaniladigan AKT, uning axborot sohasi. Demak, shaxs, jamiyat va davlatning axborot va axborot xavfsizligini ta'minlash sohasidagi faoliyatini huquqiy tartibga solishni shakllantirish va rivojlantirish sohasidagi davlat siyosati faoliyatining ustuvor yo'nalishlari sifatida quyidagilarni ajratib ko'rsatish mumkin: axborot. shar;
– barcha moddiy-energetika sohalari va faoliyatida, umuman, axborot sohasida ommaviy axborot munosabatlarini tartibga solishning huquqiy mexanizmlarini takomillashtirish; – milliy ma’naviy qadriyatlarni, axloq me’yorlari va ijtimoiy axloqni axborot tahdidlarining buzg‘unchi ta’siridan himoya qilish. Inson va fuqaroning huquq va erkinliklariga rioya qilish hamda himoya qilishdek asosiy vazifani hal qilish doirasida shaxsning axborot xavfsizligini taÿminlashga doir davlat siyosatining yoÿnalishi yetakchi hisoblanadi. Butun axborot jamiyati, uning axborot sohasi, shaxs va fuqaroning axborot xavfsizligini ta’minlash esa huquqning barcha xususiy sohalarini, ularning nazariy va uslubiy asoslarini doimiy va muntazam ravishda rivojlantirish va takomillashtirishning eng muhim tendentsiyasi bo‘lishi kerak. va umuman olganda, axborot jamiyati qonuni nazariyasi.
Axborot - bu shaxslar, ob'ektlar, faktlar, hodisalar, hodisalar va jarayonlar to'g'risidagi ma'lumotlar, ularni taqdim etish shaklidan qat'i nazar. Axborot turli xil ko'rinishdagi tashuvchilarda ma'lum belgilar to'plami (ramzlar, signallar va boshqalar) shaklida turli shakllarda mavjud bo'lishi mumkin. Bu shaxslar yoki tashkilotlar uchun qimmatli bo'lishi mumkin.
Himoya qilinadigan axborot - mulk ob'ekti bo'lgan va qonun hujjatlari talablariga yoki axborot egalari tomonidan belgilangan talablarga muvofiq muhofaza qilinishi kerak bo'lgan ma'lumotlar. Axborot egalari davlat, yuridik shaxs, jismoniy shaxslar guruhi, alohida jismoniy shaxs bo‘lishi mumkin [1].
So'nggi paytlarda axborotni qayta ishlashning avtomatlashtirilgan tizimlari (AS) yordamida ko'payib borayotgan ma'lumotlar, shu jumladan shaxslar, tashkilotlar yoki davlatlar uchun muhim ma'lumotlar saqlanadi, qayta ishlanadi va uzatiladi. Axborotni qayta ishlash tizimi - avtomatlashtirilgan axborotni qayta ishlashni amalga oshirish uchun zarur bo'lgan apparat va dasturiy ta'minot, shuningdek, axborotni qayta ishlash usullari va xodimlarning harakatlari majmui [21. Axborotlashtirish obyekti- ma'lum bir axborot texnologiyalariga muvofiq foydalaniladigan axborot resurslari, axborotni qayta ishlash vositalari va tizimlari, shuningdek ularni ta'minlash vositalari, ushbu vositalar va tizimlar o'rnatilgan binolar yoki ob'ektlar (binolar, inshootlar, texnik vositalar); yoki binolar va ob'ektlar, maxfiy muzokaralar uchun.
Muayyan shartlarga qarab, axborotlashtirish ob'ektining kompleks xavfsizligini ta'minlash yoki alohida resurslarni - axborot, dasturiy ta'minot va boshqalarni himoya qilish vazifasi hal qilinishi mumkin.
Axborot resurslari (aktivlari) - axborot tizimlari (kutubxonalar, arxivlar, fondlar, ma'lumotlar banklari, boshqa turdagi axborot tizimlari) tarkibidagi alohida hujjatlar va hujjatlarning alohida massivlari, hujjatlar va hujjatlar massivlari.
AS xavfsizligi masalalarini ko'rib chiqsak, tizimning ba'zi "xavfsizligi" yoki "xavfsizligi" tasvirlangan ba'zi "kerakli" holatlar mavjudligi haqida gapirish mumkin. Xavfsizlik tizimning ishonchliligi yoki unumdorligi kabi xususiyatdir va so'nggi yillarda tobora ortib borayotgan e'tiborni tortmoqda. Tizimning xavfsiz holatdan chiqishi sabablarini ko'rsatish uchun "tahdid" va "zaiflik" tushunchalari kiritilgan.
Tahdid (axborot xavfsizligi) - bu axborot xavfsizligi buzilishining potentsial yoki real xavfini yaratuvchi shartlar va omillar majmui.
Axborot xavfsizligiga tahdidning manbai sifatida axborot xavfsizligi tahdidining bevosita sababi bo'lgan sub'ekt (jismoniy shaxs, moddiy ob'ekt yoki jismoniy hodisa) hisoblanadi. Manba turiga ko'ra tahdidlar inson faoliyati bilan bog'liq va bog'liq bo'lmaganlarga bo'linadi. Misollar, mos ravishda, foydalanuvchi tomonidan muhim ma'lumotlarga ega faylni o'chirish va binodagi yong'in. Inson faoliyati bilan bog'liq tahdidlar tasodifiy va ataylab sodir bo'lgan tahdidlarga bo'linadi. Ikkinchi holda, tahdid manbai bosqinchi yoki hujumchi deb ataladi.
Zaiflik (axborot tizimining) axborot tizimining mulki bo'lib, unda qayta ishlangan ma'lumotlarning xavfsizligiga tahdidlarni amalga oshirish imkoniyatini belgilaydi. Misol uchun, agar AU uzluksiz quvvat manbalari yoki zaxira quvvat manbalaridan foydalanmasa (bu zaiflik) quvvat uzilishi natijasida ma'lumot yo'qolishi tahdidi amalga oshiriladi.
Agar biz axborot resurslari haqida gapiradigan bo'lsak, tahdidni amalga oshirish, u mo'ljallanmagan odamlar tomonidan ma'lumot olish, ma'lumotlarni yo'q qilish yoki o'zgartirish, resurslarni foydalanuvchilar uchun mavjud bo'lmasligi kabi oqibatlarga olib kelishi mumkin. Shunday qilib, biz uchta asosiy xavfsizlik tahdidining ta'rifiga keldik.
Maxfiylik tahdidi (oshkor qilish tahdidi) bu tahdid bo'lib, buning natijasida maxfiy yoki maxfiy ma'lumotlar shaxs, shaxslar guruhi yoki u mo'ljallanmagan har qanday tashkilot uchun mavjud bo'ladi. Bu erda maxfiy va maxfiy ma'lumotlar o'rtasidagi farqni tushuntirish kerak. Mahalliy adabiyotlarda "sir" odatda davlat sirlari toifasiga tegishli ma'lumotlar, "maxfiy" - shaxsiy ma'lumotlar, tijorat sirlari va boshqalar deb ataladi.
Butunlik tahdidi - axborotning o'zgarishi yoki yo'q qilinishiga olib keladigan tahdid. Shuni ta'kidlash kerakki, AU normal ish rejimida ma'lumotlarni o'zgartirish va o'chirish mumkin. Bu harakatlar qonuniymi yoki yo'qmi, xavfsizlik siyosati bilan belgilanishi kerak. Xavfsizlik siyosati - tashkilotni o'z faoliyatida boshqaradigan, axborot xavfsizligi sohasidagi hujjatlashtirilgan qoidalar, protseduralar, amaliyotlar yoki ko'rsatmalar to'plami.
Xizmatni rad etish tahdidi (mavjudlik tahdidi) - bu tahdid bo'lib, uni amalga oshirish AS mijozlari uchun xizmat ko'rsatishni rad etishga, tajovuzkorlar tomonidan o'z xohishiga ko'ra resurslardan ruxsatsiz foydalanishga olib keladi.
Bir qator mualliflar [3] yuqoridagi tasnifni himoya quyi tizimini o'z ichiga olgan AS parametrlarini oshkor qilish tahdidini kiritish orqali to'ldiradilar. Agar tajovuzkor tizimni noqonuniy o'rganish jarayonida uning barcha zaif tomonlarini aniqlagan bo'lsa, tahdid amalga oshirilgan hisoblanadi. Bu tahdid bilvosita tasniflanadi: uni amalga oshirish oqibatlari qayta ishlangan axborotga hech qanday zarar yetkazmaydi, balki birlamchi (tezkor) tahdidlarni amalga oshirish imkoniyatini beradi.
Shunday qilib, axborot xavfsizligi - bu barcha maxfiylik, mavjudlik va yaxlitlik ta'minlangan axborot xavfsizligi holati. Axborot xavfsizligini himoyalangan ma'lumotlarning sizib chiqishi, himoyalangan ma'lumotlarga ruxsatsiz va qasddan ta'sir qilishning oldini olishga qaratilgan faoliyat sifatida ta'riflash mumkin. Axborotni himoya qilishning quyidagi sohalari ajralib turadi:
- axborotni huquqiy himoya qilish - axborotni huquqiy usullar bilan himoya qilish, shu jumladan axborotni muhofaza qilish bo'yicha sub'ektlarning munosabatlarini tartibga soluvchi qonunchilik va me'yoriy-huquqiy hujjatlarni (hujjatlarni) ishlab chiqish, ushbu hujjatlarni (hujjatlarni) qo'llash, shuningdek nazorat qilish va nazorat qilish. ularning bajarilishini nazorat qilish;
– axborotni texnik muhofaza qilish – axborotni muhofaza qilish, u amaldagi qonun hujjatlariga muvofiq himoya qilinishi kerak bo‘lgan (bo‘ysunishi lozim) axborotning (ma’lumotlarning) kriptografik bo‘lmagan usullardan foydalangan holda, texnik, dasturiy va dasturiy-texnik vositalardan foydalangan holda xavfsizligini ta’minlashdan iborat;
- axborotni kriptografik himoya qilish - axborotni kriptografik o'zgartirish orqali himoya qilish';
- axborotni jismoniy himoya qilish - himoya qilish ob'ektiga ruxsatsiz shaxslarning kirishi yoki kirishiga to'siqlar yaratadigan tashkiliy choralar va vositalar majmuasini qo'llash orqali axborotni himoya qilish.
Axborotni himoya qilish himoya qilish usullari va vositalaridan foydalangan holda amalga oshiriladi. Axborotni himoya qilish usuli - tartib va qoidalar 1 Axborotni kriptografik himoya qilish bilan bog'liq masalalar 2-bo'limda batafsilroq ko'rib chiqiladi.
axborotni himoya qilishning muayyan tamoyillari va vositalarini qo'llash. Axborot xavfsizligi vositasi - axborotni himoya qilish uchun mo'ljallangan yoki foydalaniladigan texnik, dasturiy ta'minot, dasturiy ta'minot va apparat vositalari, modda va (yoki) material. Alohida ajrating:
- axborotni muhofaza qilish samaradorligini nazorat qilish vositalari;
- axborotni jismoniy himoya qilish vositalari;
- axborotni himoya qilishning kriptografik vositalari;
Axborotni himoya qilish sohasidagi litsenziyalash - bu axborotni himoya qilish sohasidagi ishlarni amalga oshirish huquqini berish yoki olishdan iborat bo'lgan faoliyat. Faoliyatning ayrim turlarini litsenziyalash va shaxs, jamiyat va davlatning hayotiy manfaatlarini himoya qilishni ta'minlash sohasidagi davlat siyosati Rossiya Federatsiyasi Hukumatining 1994 yil 24 dekabrdagi 1418-sonli "Litsenziyalash to'g'risida" gi qarori bilan belgilanadi. faoliyatning ayrim turlari" (Rossiya Federatsiyasi Hukumatining 05.05.95 y. 450-son, 03.06.95 y. 549-son, 07.08.95 y. 796-son, 12.10.95 y. 1001-son qarorlari bilan o'zgartirishlar kiritilgan). 22.04.97 y. 462-son, 01.12.97 y. 1513-son, shuningdek, 11.02.02 y. 135-son qaroriga qarang).
Litsenziya axborotni muhofaza qilish sohasidagi ishlarni amalga oshirish uchun ruxsatnomadir. Faoliyatning alohida turlari uchun litsenziya uch yil muddatga beriladi, shundan so‘ng litsenziya berish uchun belgilangan tartibda qayta ro‘yxatdan o‘tkaziladi.
Litsenziya olish uchun ariza bergan korxonada litsenziyalash shartlari: ishlab chiqarish-sinov bazasi, me’yoriy-uslubiy hujjatlar, ilmiy va muhandislik kadrlari mavjud bo‘lsa, litsenziya beriladi.
Axborot xavfsizligi sohasidagi korxonalarni davlat litsenziyalash tizimining tashkiliy tuzilmasi quyidagilardan iborat:
litsenziyalovchi davlat organlari;
· litsenziyalash markazlari;
Ariza beruvchi kompaniyalar.
Litsenziyalovchi davlat organlari:
· korxonalarni davlat tomonidan majburiy litsenziyalashni tashkil etish;
ariza beruvchi korxonalarga davlat litsenziyalarini beradi;
· litsenziyalash markazlari tomonidan taqdim etiladigan ekspert komissiyalari tarkibini kelishish;
· litsenziatlar tomonidan axborot xavfsizligi sohasida amalga oshirilayotgan ishlarning to‘liqligi va sifati ustidan nazorat va nazoratni amalga oshirish.
Litsenziya markazlari:
· ekspert komissiyalarini tuzadi va ularning tarkibini FSTEC va FSB bo'lgan tegishli davlat litsenziyalash organlari rahbarlariga tasdiqlash uchun taqdim etadi;
· ariza beruvchi korxonalarni ekspertizadan o'tkazish bo'yicha ishlarni rejalashtirish va amalga oshirish;
· litsenziatlar tomonidan bajarilgan ishlarning to‘liqligi va sifatini nazorat qilish.
Litsenziyalash davlat organlari huzurida litsenziyalash markazlari ushbu organlar rahbarlarining buyruqlari bilan tuziladi. Ekspert komissiyalari axborotni muhofaza qilishning tegishli sohasida vakolatli tarmoqlar, davlat organlari, boshqa tashkilot va muassasalar mutaxassislari orasidan tuziladi. Axborotni muhofaza qilishning bir yoki bir nechta yo‘nalishlari bo‘yicha ekspert komissiyalari tuziladi.
Quyidagilar Rossiya FSTEC tomonidan litsenziyalanishi kerak:
· axborotni qayta ishlashning xavfsiz texnik vositalarini (TSOI), texnik va dasturiy himoya vositalarini, axborotni muhofaza qilish chora-tadbirlari samaradorligini nazorat qilish vositalarini, qayta ishlash, himoya qilish va xavfsizlikni nazorat qilish uchun dasturiy vositalarni sertifikatlash, sertifikatlashtirish sinovi;
axborotlashtirish tizimlarini sertifikatlash; avtomatlashtirilgan tizimlar boshqaruv, aloqa va ma'lumotlarni uzatish tizimlari, BT ob'ektlari va ajratilgan binolarning axborot xavfsizligi bo'yicha boshqaruv va me'yoriy hujjatlar talablariga muvofiqligi;
himoyalangan informatika ob’ektlarini, himoya qilishning texnik vositalari va axborotni muhofaza qilish chora-tadbirlari samaradorligini nazorat qilish, axborot xavfsizligini qayta ishlash, himoya qilish va nazorat qilish uchun himoyalangan dasturiy vositalarni ishlab chiqish, ishlab chiqarish, sotish, o‘rnatish, sozlash, o‘rnatish, ta’mirlash, texnik xizmat ko‘rsatish;
· soxta elektromagnit nurlanish va shovqin (PEMIN) TSOI bo'yicha maxsus tadqiqotlar o'tkazish;
Xavfsiz dizayndagi ob'ektlarni loyihalash.
Litsenziyalovchi organ quyidagilar uchun javobgardir:
· litsenziyalash masalalari bo'yicha qoidalar, tartiblar va normativ-uslubiy hujjatlarni ishlab chiqish;
· litsenziyalanadigan faoliyatga ilmiy-uslubiy boshqaruvni amalga oshirish;
Litsenziyalash tizimi to'g'risida zarur ma'lumotlarni e'lon qilish;
· tashkilotlar va harbiy qismlarning litsenziya berish haqidagi arizalarini ko‘rib chiqish;
axborotni muhofaza qilishning tegishli sohalari uchun mas'ul bo'lgan harbiy qismlar bilan bayonotlarni muvofiqlashtirish;
· ekspert komissiyalari tarkibini muvofiqlashtirish;
maxsus ekspertizalarni tashkil etish va o‘tkazish;
litsenziya berish to'g'risida qaror qabul qilish;
litsenziyalar berish;
litsenziyaning amal qilishini toʻxtatib turish, qayta tiklash yoki bekor qilish toʻgʻrisida qaror qabul qilish;
· berilgan, to‘xtatib qo‘yilgan, qayta tiklangan va bekor qilingan litsenziyalar reestrini yuritish;
litsenziya blankalarini olish, hisobga olish va saqlash;
attestatsiya markazlari ishini tashkil etish;
· litsenziatlar tomonidan bajarilayotgan ishlarning to‘liqligi va sifatini monitoring qilish.
2001 yil 8 avgustdagi 128-FZ-sonli "Faoliyatning ayrim turlarini litsenziyalash to'g'risida" gi Federal qonunining 17-moddasiga muvofiq (2005 yil 2 iyuldagi 80-FZ-son Federal qonuni bilan tahrirlangan) quyidagi faoliyat turlari ( axborot xavfsizligi sohasida) litsenziyalanishi kerak:
shifrlash (kriptografik) vositalarini tarqatish faoliyati;
uchun tadbirlar texnik xizmat ko'rsatish shifrlash (kriptografik) vositalar;
axborotni shifrlash sohasida xizmatlar ko'rsatish;
· axborot tizimlari, telekommunikatsiya tizimlarining shifrlash (kriptografik) vositalaridan foydalangan holda himoyalangan shifrlash (kriptografik) vositalarini ishlab chiqish, ishlab chiqarish;
· maxfiy axborotni himoya qilish vositalarini ishlab chiqish va (yoki) ishlab chiqarish; maxfiy ma'lumotlarni texnik himoya qilish bo'yicha faoliyat;
binolarda maxfiy ravishda ma'lumot olish uchun mo'ljallangan elektron qurilmalarni aniqlash bo'yicha faoliyat va texnik vositalar(ko'rsatilgan faoliyat o'z ehtiyojlarini qondirish uchun amalga oshirilgan hollar bundan mustasno). yuridik shaxs yoki yakka tartibdagi tadbirkor).
Ko'rib chiqilayotgan faoliyat turlari doirasida Rossiya Federatsiyasi Hukumatining litsenziyalash tartibini aniqlaydigan alohida qarorlari chiqarildi. Ular orasida:
· Rossiya Federatsiyasi Hukumatining 2006 yil 26 yanvardagi 45-sonli "Faoliyatning ayrim turlarini litsenziyalashni tashkil etish to'g'risida" gi qarori; Rossiya Federatsiyasi Hukumatining 2006 yil 15 avgustdagi 504-sonli "Maxfiy ma'lumotlarni texnik muhofaza qilish bo'yicha faoliyatni litsenziyalash to'g'risida" gi qarori;
· Rossiya Federatsiyasi Hukumatining 2006 yil 31 avgustdagi 532-sonli "Maxfiy ma'lumotlarni himoya qilish vositalarini ishlab chiqish va (yoki) ishlab chiqarish bo'yicha faoliyatni litsenziyalash to'g'risida" gi qarori;
· Rossiya Federatsiyasi Hukumatining 2002 yil 23 sentyabrdagi 691-sonli "Shifrlash (kriptografik) vositalar bilan bog'liq faoliyatning ayrim turlarini litsenziyalash to'g'risidagi nizomni tasdiqlash to'g'risida"gi qarori.
Mazkur hujjatlarga muvofiq litsenziatlar har yili litsenziyalovchi organga yoki sertifikatlashtirish markaziga litsenziyada ko‘rsatilgan faoliyatning alohida turlari bo‘yicha bajarilgan ishlar hajmi to‘g‘risidagi ma’lumotlarni taqdim etishlari shart. Litsenziya egalari bajarilgan ishlarning to‘liqligi va sifati, amaliy faoliyatni amalga oshirish jarayonida ularga ishonib topshirilgan davlat sirlarining saqlanishini ta’minlash uchun javobgardirlar.
Elektron hujjat aylanishi tizimlarining (EDM) normal ishlashi uchun yuzaga kelishi mumkin bo'lgan nizolarni hal qilish tartib-qoidalarini ishlab chiqish kerak. EDI ishtirokchilari va provayderdan tashqari, bunday nizolarning tarafi dasturiy ta'minot ishlab chiqaruvchisi bo'lishi mumkin.
Ishlab chiquvchi kompaniya bilan tuzilgan shartnoma faqat provayder kompaniya yoki EDFning barcha ishtirokchilari tomonidan saqlanishi mumkin bo'lgan ma'lumotnoma dasturiy ta'minot namunasi mavjudligini hisobga oladi deb taxmin qilinadi. Bu ikkita asosiy shartni bajarishni talab qiladi:
EDI tizimining har bir ishtirokchisi (shu jumladan provayder) mos yozuvlar namunasiga mos keladigan dasturiy ta'minotni o'rnatganligi hujjatlashtirilgan bo'lishi kerak;
mos yozuvlar namunalarini saqlash dasturiy ta'minotning mos yozuvlar namunasini tomonlarning xabardorligisiz o'zgartirish imkoniyatini istisno qiladigan tarzda tashkil etiladi.
Ushbu rejim bir nechta ochiq kalitlar tizimi bilan ta'minlanishi mumkin.
Jamiyat hayoti va faoliyatining barcha jabhalariga zamonaviy axborot texnologiyalari jadal joriy etilayotgan bugungi kunda milliy va uning bir qismi sifatida davlatning iqtisodiy xavfsizligi bevosita ta’minlashga bog‘liq bo‘la boshlaydi. Shuning uchun ham axborot xavfsizligi vositalarining zarur barqarorligini ta’minlash kafolatlarini yaratish maqsadida davlat axborot xavfsizligini ta’minlash va tegishli texnik vositalarni sertifikatlashtirish bilan shug‘ullanuvchi tashkilotlar faoliyatini litsenziyalash mas’uliyatini o‘z zimmasiga oladi.
Global ochiq tarmoqlarda tashqi axborot tahdidlaridan himoyalanishning hozirgi darajasini qoniqarli deb bo‘lmaydi: Rossiyada hali ham bu sohada keng qamrovli va texnik jihatdan asoslangan strategiya yo‘q. Vaziyatni o'zgartirish uchun qonunchilik va Rossiyaning axborot xavfsizligini ta'minlaydigan vositalarni standartlashtirish sohasidagi chora-tadbirlar kompleksi darhol ishlab chiqilishi va amalga oshirilishi kerak. Ushbu yo'nalishdagi ustuvor vazifalar qatoriga quyidagilar kiradi:
· Farzandlikka olish maxsus qonun, Amerika Qo'shma Shtatlaridagi "Kompyuter xavfsizligi to'g'risida" gi qonunga o'xshash bo'lib, axborot xavfsizligi sohasidagi ishlarni uslubiy ta'minlash uchun muayyan davlat organlariga mas'uliyat yuklaydi;
· turli profildagi, o'lchamdagi va mulkchilik shaklidagi tashkilotlar xavfsizligini ta'minlash bo'yicha yagona yondashuvlarni ishlab chiqish;
Bozorda axborot xavfsizligi muammolarini hal qilish uchun etarli miqdordagi turli xil sertifikatlangan vositalarning paydo bo'lishini ta'minlash.
Rossiyada axborot xavfsizligi sohasidagi muammolardan biri bu, masalan, Amerika Standart Texnologiyalar Instituti (AQSh) va Britaniya standarti tomonidan ishlab chiqilganlarga o'xshash xavfsiz axborot tizimlarini yaratish bo'yicha batafsil tavsiyalar bilan rasmiy hujjatlarning yo'qligi. Buyuk Britaniyada rioya qilishni talab qiladigan qoidalar mavjud emas davlat standartlari, Britaniya firma va tashkilotlarining qariyb 60% ixtiyoriy ravishda ishlab chiqilgan standartdan foydalanadi, qolganlari esa yaqin kelajakda uning tavsiyalarini amalga oshirish niyatida.
Axborot xavfsizligi tizimlari sohasida litsenziyalash va sertifikatlash bu muammoni kamaytirishi mumkin. Foydalanuvchi uchun u foydalanadigan axborotni himoya qilish vositalari zarur himoya darajasini ta'minlashga qodir ekanligiga kafolatlar yaratish kerak. Aynan litsenziyalash faqat ushbu sohadagi yuqori malakali mutaxassislar axborotni muhofaza qilish muammosi bilan shug'ullanishini va ular yaratgan mahsulotlarning tegishli darajada bo'lishini va sertifikatlash imkoniyatini ta'minlashga yordam beradi.
Sertifikatlashsiz, ma'lum bir vositada potentsial zararli hujjatsiz xususiyatlar mavjudligini baholash mumkin emas, ularning mavjudligi ko'pchilik xorijiy mahsulotlar uchun xos bo'lib, qaysidir nuqtada tizimning ishdan chiqishiga va hatto qaytarilmas oqibatlarga olib kelishi mumkin. Bunday hujjatsiz xususiyatlarning o'ziga xos namunasi - kompaniya telefon stansiyalarini ishlab chiqishda nom berishdan bosh tortadigan ma'lum bir telefon raqamidan qo'ng'iroq tushganda ularning ishini blokirovka qilish qobiliyati, buning asosida Rossiya Federatsiyasi Temir yo'llari vazirligi o'z faoliyatini quradi. telefon tarmog'i. Va bu misol yagona emas.
Dasturiy mahsulotni sertifikatlash jarayoni uni ishlab chiqish bilan bir xil vaqtni oladi va sharhlar bilan dasturlarning manba kodisiz amalda mumkin emas. Shu bilan birga, ko'plab xorijiy firmalar o'zlarining dasturiy mahsulotlarning manba matnlarini Rossiya sertifikatlashtirish markazlariga topshirishni xohlamaydilar. Masalan, Microsoft-ning Rossiyada Windows NT-ni sertifikatlash bo'yicha fundamental kelishuviga qaramay, xavfsizlik bilan bog'liq 50 dan ortiq xatolar allaqachon aniqlangan, bu muammo uning manba kodi yo'qligi sababli ko'p oylar davomida oldinga siljiy olmadi. .
Sertifikatlash bilan bog'liq qiyinchiliklar bir xil toifadagi mahsulotlar orasida eng oddiylari sertifikatni boshqalarga qaraganda tezroq olishiga olib keladi, bu esa ularni foydalanuvchiga ishonchliroq ko'rinadi. Sertifikatlashning uzoq muddatlari ishlab chiqaruvchi kompaniyaning bozorga olib chiqishga muvaffaq bo'lishiga olib keladi yangi versiya mahsulotingiz va jarayon cheksiz bo'ladi.
Axborot xavfsizligining texnik vositalarini tegishli standartlarsiz sertifikatlash qiyin, ularning yaratilishi Rossiyada moliyaviy resurslarning etishmasligi bilan cheklanadi. Agar marketingga qiziqqan bir nechta firmalar va tegishli texnik vositalardan foydalanishga qiziqqan bir nechta tashkilotlar mavjud bo'lsa, bu muammo hal qilinadi. Misol uchun, bunday tashkilotlar, firmalar va FSTEC (sobiq Davlat Texnik Komissiyasi (DTK)) birgalikdagi sa'y-harakatlari natijasida Rossiya Federatsiyasi Davlat bojxona qo'mitasining "Kompyuter qurilmalari. Firewalls" Yo'naltiruvchi texnik materialini ishlab chiqish bo'ldi. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan xavfsizlik ko'rsatkichlari". U ma'lum darajada korporativ tarmoqlarni tashqi hujumlardan himoya qila oladigan vositalarni tasniflashga ruxsat berdi.
Hujjat xavfsizlik devorlarining bir nechta sinflari mavjudligini nazarda tutadi: eng oddiy, faqat ma'lumotlar oqimini boshqarish imkonini beruvchi, eng murakkab, kiruvchi ma'lumotlarni to'liq qayta kodlashni amalga oshiradigan, korporativ tarmoqni tashqi ta'sirlardan to'liq himoya qiladi. Muvofiqlik sertifikati allaqachon bugun spetsifikatsiyalar yo'riqnomasiga muvofiq ishlab chiqilgan texnik material, amaldagi qonunlar tomonidan ruxsat etilganidek, Sun Screen, SKIPbridge va Pandora kabi xavfsizlik devorlaridan o'tgan. Biroq, ularning sertifikatlanishi kurashsiz o'tmadi.
Axborot xavfsizligi talablarini va axborot xavfsizligi sohasidagi jahon amaliyotini hisobga olgan holda, Rossiyaning xalqaro standartlashtirish va sertifikatlashtirishning belgilangan tizimlariga qo'shilishi maqsadga muvofiqdir. axborot texnologiyalari bu amalda quyidagilarni anglatadi:
· Milliy va sanoat standartlarini xalqaro standartlarga muvofiqlashtirish;
· Rossiya vakillarining xalqaro sertifikatlashtirish tizimlarida ishtirok etishi (shu jumladan sertifikatlashtirish testlari);
· Rossiyada xalqaro sertifikatlarni tan olish imkoniyati.
Bundan tashqari, amaldagi qonunchilikka muvofiq, shaxsiy ma'lumotlarni to'plash va qayta ishlash bilan shug'ullanadigan har qanday tashkilot (masalan, plastik kartalar bilan operatsiyalar) bunday faoliyat bilan shug'ullanish uchun litsenziyaga ega bo'lishi va buning uchun sertifikatlangan vositalardan foydalanishi kerak.
Rossiya FSTEC (sobiq Davlat texnik komissiyasi) axborotni ruxsatsiz kirishdan himoya qilish uchun zarur bo'lgan me'yoriy-huquqiy bazani ishlab chiqdi. Asosiy boshqaruv hujjatlarining tuzilishini ko'rib chiqing.
1. « Axborotga ruxsatsiz kirishdan himoya qilish. Shartlar va ta'riflar"– barcha turdagi hujjatlarda qo‘llanilishi majburiy bo‘lgan axborotga ruxsatsiz kirishdan kompyuter texnikasi va avtomatlashtirilgan tizimlarni himoya qilish sohasida yagona terminologik standartni belgilaydi.
2. « Kompyuter texnikasi va avtomatlashtirilgan tizimlarni axborotga ruxsatsiz kirishdan himoya qilish kontseptsiyasi.- axborotni ruxsatsiz kirishdan himoya qilish muammosi asos bo'lgan asosiy tamoyillarni va uning aloqasini tavsiflaydi. umumiy muammo axborot xavfsizligi. Konsepsiyada quyidagi masalalar o‘z aksini topgan: ruxsatsiz kirishning ta’rifi, himoyalanishning asosiy tamoyillari, avtomatlashtirilgan tizimlardagi buzg‘unchi modeli, ruxsatsiz kirishning asosiy usullari, himoya qilishning asosiy yo‘nalishlari, himoya qilishning texnik vositalarining asosiy xarakteristikalari, himoya qilishning asosiy tamoyillari. avtomatlashtirilgan tizimlarning tasnifi, himoya qilish bo'yicha ishlarni tashkil etish. Ushbu kontseptsiya kompyuter texnikasi va avtomatlashtirilgan tizimlarning mijozlari, ishlab chiquvchilari va foydalanuvchilari uchun mo'ljallangan bo'lib, ularning asosiy maqsadi himoyalangan ma'lumotlarni qayta ishlash, saqlash va uzatishdir.
3. “Axborotni himoya qilish vositalari. Kassa apparatlaridagi ma'lumotlarni himoya qilish va avtomatlashtirilgan naqd pul tizimlari Oh. Kassa mashinalarining tasnifi, avtomatlashtirilgan kassa tizimlari va axborot xavfsizligi talablari”– nazorat-kassa mashinalari, avtomatlashtirilgan kassa tizimlari, axborot texnologiyalari tasnifini va soliqqa tortish bilan bog‘liq axborotni muhofaza qilish talablarini belgilaydi. Ushbu hujjatga muvofiq, nazorat-kassa mashinalarining 2 toifasi, avtomatlashtirilgan kassa tizimlari va axborot texnologiyalari tashkil etilgan. Birinchi sinfga kuniga eng kam ish haqining 350 baravarigacha, ikkinchisiga esa eng kam ish haqining 350 baravaridan ortiq bo‘lgan miqdorda pul oqimlari to‘g‘risidagi ma’lumotlarni qayta ishlovchi tizimlar kiradi.
4. “Kompyuter texnikasi. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari»- umumiy tizimli dasturiy ta'minot va operatsion tizimlarga qo'llaniladigan kompyuter texnikasini ruxsatsiz kirishdan himoya qilish talablarini tartibga soladi. Xavfsizlikning ettita toifasi mavjud bo'lib, ular to'rt guruhga bo'lingan. Har bir sinf ruxsatsiz kirishni amalga oshirish uchun zarur bo'lgan axborotni himoya qilish mexanizmlari ro'yxatini o'z ichiga oladi.
5. “Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni himoya qilish talablari "– avtomatlashtirilgan tizimlarni ulardagi ma’lumotlarning mavjudligiga qarab tasniflaydi turli darajalar konfidensiallik, kirish sub'ektlarining vakolat darajalari, to'qqizta sinf uchun ma'lumotlarni qayta ishlash rejimlari va ularning har biri uchun talablar to'plamini nazarda tutadi. Avtomatlashtirilgan tizimlarda axborotni qayta ishlash xususiyatlariga ko'ra sinflar uch guruhga bo'linadi.
6. “Kompyuter texnikasi. Faervollar. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari»- xavfsizlik devorlarining turli sinflari uchun talablarni e'lon qiladi. Jami xavfsizlik devorlarining beshta xavfsizlik klassi mavjud. Tasniflash xavfsizlik devori bilan himoyalangan avtomatlashtirilgan tizimlarning xavfsizlik sinfiga qarab amalga oshiriladi.