Представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности» России, служит основой для «формирования государственной политики» в сфере информации (9 сентября 2000г. Президент России Владимир Путин утвердил «Доктрину информационной безопасности Российской Федерации».)
Доктрина включает в себя перечень основных видов возможных угроз для информационной безопасности, которые в том числе связаны с телекоммуникационными системами. К числу таких угроз отнесены:
- закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
- вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
- неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники, передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;
- увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности;
- нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
- использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;
- привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
В качестве некоторых общих методов обеспечения информационной безопасности Доктриной предполагаются:
- обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь, в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
- уточнение статуса инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
- законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи.
В числе первоочередных мер, направленных на обеспечение информационной безопасности, названы:
1. Принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации,
2. Повышение правовой культуры и компьютерной грамотности граждан,
3. Развитие инфраструктуры единого информационного пространства России,
4. Создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства,
5. Пресечение компьютерной преступности,
6. Создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации,
7. Обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения
В число основных организационно-технических мероприятий по защите информации в общегосударственных информационных и телекоммуникационных системах включены:
- лицензирование деятельности организаций в области защиты информации;
- аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
- сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи.
Различают четыре уровня защиты информации:
• предотвращение - доступ к информации и технологии имеет только персонал, который получил допуск от собственника информации;
• обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
• ограничение - уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
• восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Ранее контроль за защитой информации был заботой технических администраторов. Сегодня контроль за информацией стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль за информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
