Государство занимает важное место в системе защиты информации в любой стране, в том числе и в Беларуси. Государственная политика обеспечения информационной безопасности исходит из следующих положений:
— ограничение доступа к информации есть исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;
— доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;
— юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные, и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;
— государство формирует национальную программу информационной безопасности и объединяет усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности страны;
— государство формирует нормативно‑правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере;
— государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;
— государство прилагает усилия для противодействия информационной экспансии США и других развитых стран, поддерживает интернационализацию глобальных информационных сетей и систем;
— государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информатизации и защиты информации, и осуществляет меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов.
Система информационной безопасности является составной частью общей системы национальной безопасности страны и представляет собой совокупность органов государственной власти и управления и предприятий, согласованно осуществляющих деятельность по обеспечению информационной безопасности. В систему входят:
— органы государственной власти и управления, решающие задачи обеспечения информационной безопасности в пределах своей компетенции;
— государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности;
— структурные и межотраслевые подразделения по защите информации органов государственной власти и управления, а также структурные подразделения предприятий, проводящие работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся на проведении работ в области защиты информации;
— научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности;
— учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.
Государственную систему защиты информации Республики Беларусь составляют:
— Государственный центр безопасности информации (ГЦБИ);
— структурные подразделения по защите информации органов государственного управления, предприятий, организация и учреждений;
— головные предприятия (организации, учреждения) по направлениям защиты информации,
— сертификационные и испытательные центры (лаборатории), предприятия, учреждения и организации различных форм собственности по оказанию услуг в области защиты информации.
Основными функциями системы информационной безопасности страны являются:
— разработка и реализация стратегии обеспечения информационной безопасности;
— оценка состояния информационной безопасности в стране, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения и нейтрализации этих угроз;
— координация и контроль деятельности субъектов системы информационной безопасности.
Первоочередные мероприятия по реализации государственной политики информационной безопасности должны включать:
— создание нормативно‑правовой базы реализации государственной политики в области информационной безопасности, в том числе определение последовательности и порядка разработки законодательных и нормативно‑правовых актов, а также механизмов практической реализации принятого законодательства;
— анализ технико-экономических параметров отечественных и зарубежных программно‑технических средств обеспечения информационной безопасности и выбор перспективных направлений развития отечественной техники;
— формирование государственной научно‑технической программы совершенствования и развития методов и средств обеспечения информационной безопасности, предусматривающей их использование в национальных информационных и телекоммуникационных сетях и системах с учетом перспективы вхождения страны в глобальные информационные сети и системы;
— создание системы сертификации на соответствие требованиям информационной безопасности отечественных и закупаемых импортных средств информатизации, используемых в государственных органах власти и управления.
Мероприятия по защите информации осуществляются как за счет бюджетных ассигнований, выделяемых целевым назначением, так и за счет средств предприятий, учреждений и организаций независимо от форм собственности. Финансирование НИОКР в области защиты информации, производства средств защиты информации и контроля эффективности защиты осуществляется за счет госбюджетных ассигнований, выделяемых целевым назначением гензаказчику, а также средств предприятий, учреждений и организаций различных форм собственности и частных лиц. Генеральным заказчиком технических, программных, программно-аппаратных и криптографических средств защиты информации, аппаратуры контроля эффективности защиты информации общего применения и научно-технической продукции по общесистемным исследованиям проблем защиты информации является ГЦБИ.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных компьютерных системах и сетях являются:
— лицензирование деятельности предприятий в области защиты информации;
— аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
— сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
— введение территориальных, частотных, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
— создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
3.2. Лицензирование деятельности юридических и физических лиц
в области защиты информации
Деятельность юридических и физических лиц по защите информации лицензируется.
Положение о лицензировании в области защиты информации разработано Государственным центром безопасности информации при Совете Безопасности РБ. Эта же организация и выдает лицензии.
Основные виды лицензируемой деятельности, состав, содержание работ и применяемые
термины
1. Под "техническими средствами защиты и контроля защищенности информации" понимаются:
— защищенные от модификации, разрушения и утечки информации средства вычислительной техники, связи, хранения, отображения и размножения информации, подлежащей защите;
— технические средства защиты информации общепромышленного исполнения и специального назначения;
— инструментальные средства контроля защищенности информации.
2. К терминам "разработка, производство технических средств" относится цикл от исследований, согласно техническому заданию, до сдачи заказчику технического средства, изготовленного по конструкторской документации.
3. Термины "монтаж, наладка технических средств" включают установку, соединение (сборку) и приведение в рабочее состояние технических средств, устранение неисправностей в них.
4. К "специальным исследованиям технических средств" относится комплекс мероприятий по качественному и количественному исследованию возможностей утечки информации по техническим каналам и выработке рекомендаций по ее защите.
5. Под "проведением работ по контролю защищенности информации" понимается: постоянное или периодическое проведение комплекса работ, обеспечивающих проверку выполнения организационных и технических мероприятий по защите информации, исключающих ее разрушение, искажение или утечку по техническим каналам.
6. К терминам "разработка, производство программных средств защиты информации" относятся: разработка и производство специальных программ, с помощью которых осуществляются разграничение доступа к информации и предупреждение от несанкционированного ее использования.
7. К терминам "разработка, производство программно-аппаратных средств защиты информации" относятся: разработка и производство средств, содержащих в своем составе элементы, реализующие функции защиты информации, в которых программные (микропрограммные) и аппаратные части полностью взаимозависимы и неразделимы.
8. Термины "монтаж, наладка программных средств защиты информации" включают в себя:
— установку, приведение в рабочее состояние и сопровождение на объектах заказчика программных средств защиты информации;
— внедрение программных средств контроля эффективности мер по защите информации;
— установку антивирусных программ.
9. Под термином "средства криптографии, реализованные в программных и программно-аппаратных комплексах защиты информации" подразумеваются средства:
— обеспечения подлинности данных (электронная цифровая подпись);
— обеспечения целостности данных (код аутентификации сообщения, имитовставка, хеш-функция);
— обеспечения конфиденциальности данных (шифрование);
м управления ключевой системой (выполнение задач генерации, распределения, использования, хранения, уничтожения и восстановления ключей).