4.1. La Constitution de la Fédération de Russie et la doctrine de la sécurité de l'information de la Fédération de Russie sur le soutien juridique de la sphère de l'information Le problème de la réglementation juridique des relations dans le domaine de la garantie de la sécurité de l'information est l'un des plus importants pour la Russie. Sa décision dépend en grande partie

4.5. Coopération internationale de la Russie dans le domaine de la garantie de la sécurité de l'information La coopération internationale de la Fédération de Russie dans le domaine de la garantie de la sécurité de l'information fait partie intégrante des politiques, militaires, économiques, culturels et autres.

RÈGLES D'EXAMEN D'UNE PERSONNE QUI CONDUIT UN VÉHICULE POUR INTOXICATION ALCOOLIQUE ET ENREGISTREMENT DE SES RÉSULTATS, DIRECTION DE LA PERSONNE DÉSIGNÉE POUR UN EXAMEN MÉDICAL POUR UN ÉTAT D'INTOXICATION, IU DITSIN INSPECTION

7.6. Méthodes et moyens de support d'information pour les systèmes d'assurance qualité

Question 1. La place de la sécurité de l'information dans le système de sécurité nationale de la Russie : concept, structure et contenu Informatisation des activités socio-politiques, économiques et militaires du pays et, par conséquent, développement rapide des systèmes d'information

Question 2. Documents directeurs de base réglementant les questions de sécurité de l'information Compte tenu du concept de sécurité nationale de la Russie, approuvé par le décret du Président de la Fédération de Russie du 17 décembre 1997 n° 1300 (tel que modifié le 10 janvier 2000), qui reflète le dite « Charte d’Okinawa »

Question 3. Menaces modernes pour la sécurité de l'information en Russie Selon la loi sur la sécurité, une menace à la sécurité est comprise comme un ensemble de conditions et de facteurs qui créent un danger pour les intérêts vitaux de l'individu, de la société et de l'État. Concept

Cours 4 Méthodologie de construction d'un système de sécurité de l'information d'entreprise Questions pédagogiques :1. Types de travaux analytiques pour évaluer la sécurité.2. Modèle et méthodologie d'un système de sécurité de l'information d'entreprise.3. Formation d'organisation

Cours 6 Fondements de la sécurité de l'information dans le secteur bancaire Questions d'étude :1. Caractéristiques de la sécurité de l'information des banques2. Analyse de l'état des systèmes automatisés bancaires du point de vue de la sécurité3. Principes de protection bancaire

Question 1. Caractéristiques de la sécurité de l'information des banques Depuis leur création, les banques ont invariablement suscité des intérêts criminels. Et cet intérêt était associé non seulement au stockage de fonds dans les établissements de crédit, mais aussi au fait qu'il était important

Question 1. Modèle généralisé des processus de sécurité de l'information Les modèles généraux de systèmes et processus de sécurité de l'information sont ceux qui permettent de déterminer (évaluer) les caractéristiques générales de ces systèmes et processus, contrairement aux modèles locaux et privés,

Question 1. Le but des modèles mathématiques pour assurer la sécurité de l'information dans les systèmes de contrôle automatisés. Le fonctionnement du système de contrôle automatisé, qui assure la mise en œuvre de la technologie de contrôle automatisé de processus complexes dans un système distribué, devrait être basé sur un démarrage planifié avec

Question 2. Analyse comparative et définitions de base des modèles mathématiques pour assurer la sécurité de l'information. Les technologies existantes pour décrire formellement les processus permettant d'assurer la sécurité de l'information sont basées sur les concepts de la théorie des machines à états finis, la théorie

Cours 11 Principales orientations pour assurer la sécurité de l'information des réseaux informatiques des établissements d'enseignement Questions éducatives :1. État des questions de sécurité de l'information.2. Menaces et vulnérabilités de KSUS.3. Étapes de construction de BKSUZ.4. Direction

Le concept de sécurité de l'information. Le concept de sécurité de l'information dans la terminologie juridique russe n'est pas établi en raison de l'absence d'une base méthodologique unique sur la base de laquelle seuls son essence, le degré de nécessité d'utilisation et les limites d'application peuvent être déterminés. Malheureusement, cette base méthodologique n'a pas encore été développée, ce qui ressort clairement non seulement dans la discussion du concept de sécurité de l'information dans les pages des publications éducatives et scientifiques, mais également dans les textes des documents officiels, y compris les réglementations.

Le concept de sécurité de l'information a été développé dans la Doctrine de la sécurité de l'information de la Fédération de Russie (ci-après dénommée la Doctrine), qui est un ensemble de points de vue officiels sur les buts, objectifs, principes et principales orientations visant à assurer la sécurité de l'information du État. Conformément au paragraphe 1 de la Doctrine, la sécurité de l'information de la Fédération de Russie s'entend comme l'état de protection de ses intérêts nationaux dans le domaine de l'information, déterminé par l'ensemble des intérêts équilibrés de l'individu, de la société et de l'État.

La définition doctrinale de la sécurité de l'information est basée sur le concept générique de sécurité en tant qu'« état de sécurité », inscrit dans la loi de la Fédération de Russie « sur la sécurité ». La formule doctrinale de l'objet de protection correspond à l'objet générique identifié dans la loi de la Fédération de Russie « sur la sécurité » comme « intérêts vitaux ». Compte tenu du rôle et de l'importance de la Doctrine, il convient de reconnaître que l'utilisation et le développement ultérieurs du concept de sécurité de l'information se feront dans le sens spécifié par ce document, bien que ce soit le plus problématique, car il nécessite une réponse à une question. cela n’a pas encore été découvert par plusieurs générations de scientifiques. Cette question, puisque nous parlons de l'objet de la protection, qui est considéré comme les intérêts nationaux, déterminés par l'ensemble des intérêts équilibrés de l'individu, de la société et de l'État, consiste à déterminer l'équilibre des intérêts de l'individu et de la société comme un ensemble. Après tout, ce qui répond aux intérêts d’un individu ne répond pas toujours aux intérêts de la société dans son ensemble ; à l’inverse, ce qui est dans l’intérêt de la société tout entière peut clairement contredire les intérêts d’un individu.

Parallèlement, la Doctrine tente de structurer les intérêts nationaux de la Fédération de Russie dans le domaine de l’information sur la base de leurs quatre composantes.

La première composante des intérêts nationaux comprend le respect des droits et libertés constitutionnels de l'homme et du citoyen dans le domaine de l'obtention et de l'utilisation de l'information, d'assurer le renouveau spirituel de la Russie, de préserver et de renforcer les valeurs morales de la société, les traditions de patriotisme et d'humanisme. , le potentiel culturel et scientifique du pays.

La deuxième composante des intérêts nationaux contient un support informationnel pour la politique d'État de la Fédération de Russie, associée à la communication au public russe et international d'informations fiables sur la politique d'État de la Russie, sa position officielle sur les événements socialement importants de la vie russe et internationale, et garantir l'accès des citoyens aux ressources d'information ouvertes de l'État .

La troisième composante des intérêts nationaux combine le développement des technologies de l'information modernes, l'industrie nationale de l'information, y compris l'industrie des technologies de l'information, télécommunications et des communications, répondant aux besoins du marché intérieur avec ses produits et à l'entrée de ces produits sur le marché mondial, ainsi qu'en assurant l'accumulation, la préservation et l'utilisation efficace des ressources d'information nationales.

Et enfin, la quatrième composante des intérêts nationaux consiste à protéger les ressources d'information contre tout accès non autorisé et à assurer la sécurité des systèmes d'information et de télécommunication, tant déjà déployés qu'en cours de création en Russie.

On suppose que les quatre composantes des intérêts nationaux dans le domaine de l’information peuvent, à leur tour, être considérées comme un ensemble d’intérêts équilibrés de l’individu, de la société et de l’État. Dans le même temps, les intérêts de l'individu résident dans la mise en œuvre des droits constitutionnels de l'homme et du citoyen d'accéder à l'information, d'utiliser l'information dans l'intérêt de mener des activités non interdites par la loi, du développement physique, spirituel et intellectuel, ainsi que afin de protéger les informations qui garantissent la sécurité personnelle. Les intérêts de la société consistent à garantir les intérêts de l'individu dans le domaine de l'information, à renforcer la démocratie, à créer un État social de droit, à atteindre et à maintenir l'harmonie publique et à assurer le renouveau spirituel de la Russie. Les intérêts de l'État sont de créer les conditions d'un développement harmonieux de l'infrastructure de l'information russe, de la mise en œuvre des droits et libertés constitutionnels de l'homme et du citoyen dans le domaine de l'obtention et de l'utilisation de l'information afin d'assurer l'inviolabilité du droit constitutionnel. système, la souveraineté et l'intégrité territoriale de la Russie, la stabilité politique, économique et sociale, le maintien inconditionnel de l'ordre public, le développement d'une coopération internationale égale et mutuellement bénéfique.

Les principales tâches pour assurer la sécurité de l'information. Sur la base des intérêts nationaux de la Fédération de Russie dans le domaine de l'information, des tâches visant à assurer la sécurité de l'information sont créées. La nature de ces tâches est déterminée par l'état actuel de la sphère de la sécurité de l'information, en tenant compte de la présence de certaines menaces externes et internes contre les droits et libertés constitutionnels de l'homme et du citoyen, les intérêts de la société et de l'État.

La Doctrine définit les tâches principales suivantes pour assurer la sécurité de l'information :

• développement des principales orientations de la politique de l'État dans le domaine de la garantie de la sécurité de l'information en Russie, ainsi que des activités et des mécanismes liés à la mise en œuvre de ce programme ;
• le développement et l'amélioration du système de sécurité de l'information qui met en œuvre une politique d'État unifiée dans ce domaine, y compris l'amélioration des formes, des méthodes et des moyens d'identification, d'évaluation et de prévision des menaces contre la sécurité de l'information de la Russie, ainsi que le système de lutte contre ces menaces ;
• développement de programmes cibles fédéraux pour assurer la sécurité de l'information en Russie ;
• élaboration de critères et de méthodes d'évaluation de l'efficacité des systèmes et outils de sécurité de l'information, ainsi que certification de ces systèmes et outils ;
• améliorer le cadre réglementaire pour assurer la sécurité de l'information en Russie, y compris les mécanismes de mise en œuvre des droits des citoyens de recevoir des informations et d'y accéder, les formes et méthodes de mise en œuvre des normes juridiques relatives à l'interaction entre l'État et les médias ;
• établissant la responsabilité des fonctionnaires des organismes gouvernementaux fédéraux, des organismes gouvernementaux des entités constitutives de la Fédération de Russie, des organes d'autonomie locale, des personnes morales et des citoyens pour le respect des exigences en matière de sécurité de l'information ;
• coordination des activités des organismes gouvernementaux fédéraux, des organismes gouvernementaux des entités constitutives de la Fédération de Russie, des organisations quelle que soit leur forme de propriété dans le domaine de la garantie de la sécurité de l'information de la Russie ;
• développement de bases scientifiques et pratiques pour assurer la sécurité de l'information de la Russie, en tenant compte de la situation géopolitique actuelle, des conditions de développement politique et socio-économique de la Russie et de la réalité des menaces liées à l'utilisation des « armes de l'information » ;
• développement et création de mécanismes pour la formation et la mise en œuvre de la politique d'information de l'État de la Russie ;
• développement de méthodes pour accroître l'efficacité de la participation de l'État à l'élaboration de la politique d'information des organismes de radiodiffusion et de télévision d'État et d'autres médias d'État ;
• assurer l'indépendance technologique de la Russie dans les domaines les plus importants de l'information, des télécommunications et des communications qui déterminent sa sécurité, et principalement dans le domaine de la création d'équipements informatiques spécialisés pour les armes et les équipements militaires ;
• développement de méthodes et de moyens modernes de protection de l'information, garantissant la sécurité des technologies de l'information, et principalement utilisés dans les systèmes de commandement et de contrôle des troupes et des armes, dans les industries dangereuses pour l'environnement et économiquement importantes ;
• développement et amélioration du système étatique de protection de l'information et du système de protection des secrets d'État ;
• création et développement d'une base technologique moderne et sécurisée pour la gestion gouvernementale en temps de paix, dans les situations d'urgence et en temps de guerre ;
• élargir l'interaction avec les organismes et organisations internationaux et étrangers pour résoudre les problèmes scientifiques, techniques et juridiques liés à la garantie de la sécurité des informations transmises via les télécommunications et les systèmes de communication internationaux ;
• fournir les conditions nécessaires au développement actif de l'infrastructure de l'information russe et à la participation de la Russie aux processus de création et d'utilisation des réseaux et systèmes d'information mondiaux ;
• création d'un système unifié de formation du personnel dans le domaine de la sécurité de l'information et des technologies de l'information.

Il semble que la condition pour la fécondité de la résolution de ces problèmes, comme de tous les autres, est leur traduction sur le plan des attitudes réelles, fixées par des moyens normatifs. Même si ce n’est pas le cas, les tâches existent d’elles-mêmes, étant enfermées dans le système des vues officielles.

Méthodes pour assurer la sécurité des informations. Les méthodes permettant d'assurer la sécurité des informations sont divisées en générales et spécifiques. Les méthodes générales, quant à elles, sont différenciées en méthodes juridiques, organisationnelles, techniques et économiques.

Les méthodes juridiques visant à assurer la sécurité de l'information selon la Doctrine comprennent l'élaboration d'actes juridiques normatifs réglementant les relations dans le domaine de l'information et de documents méthodologiques normatifs sur les questions visant à garantir la sécurité de l'information en Russie. Les principales orientations de cette activité sont notamment :

• délimitation législative des pouvoirs dans le domaine de la garantie de la sécurité de l'information entre les organes du gouvernement fédéral et les organes gouvernementaux des entités constitutives de la Fédération de Russie, détermination des buts, objectifs et mécanismes pour la participation des associations publiques, des organisations et des citoyens à cette activité ;
• élaboration et adoption d'actes juridiques réglementaires de la Fédération de Russie établissant la responsabilité des personnes morales et physiques en cas d'accès non autorisé à l'information, de copie illégale, de déformation et d'utilisation illégale, de diffusion délibérée de fausses informations, de divulgation illégale d'informations confidentielles, d'utilisation d'informations officielles ou des informations à des fins criminelles et égoïstes, contenant un secret commercial ;
• consolidation législative de la priorité accordée au développement des réseaux nationaux de communication et à la production nationale de satellites de communication spatiale ;
• détermination du statut des organisations fournissant des services de réseaux mondiaux d'information et de télécommunication sur le territoire de la Russie et réglementation juridique des activités de ces organisations ;
• création d'un cadre juridique pour la formation de structures régionales de sécurité de l'information en Russie.

Les méthodes organisationnelles et techniques permettant d'assurer la sécurité de l'information sont notamment :

• création et amélioration du système pour assurer la sécurité de l'information en Russie ;
• renforcer les activités répressives des autorités exécutives ;
• développement, utilisation et amélioration d'outils de sécurité de l'information et de méthodes de contrôle de l'efficacité de ces outils ;
• création de systèmes et de moyens pour empêcher l'accès non autorisé aux informations traitées et les impacts particuliers qui provoquent la destruction, la destruction, la distorsion des informations, ainsi que des modifications dans les modes de fonctionnement normaux des systèmes et moyens d'information et de communication ;
• identification des dispositifs et programmes techniques qui présentent un danger pour le fonctionnement normal des systèmes d'information et de télécommunication, prévention de l'interception d'informations par des canaux techniques, utilisation de moyens cryptographiques pour protéger les informations lors de leur stockage, de leur traitement et de leur transmission via les canaux de communication ;
• certification des moyens de sécurité de l'information, autorisation d'activités dans le domaine de la protection des secrets d'État, normalisation des méthodes et moyens de sécurité de l'information ;
• contrôle des actions du personnel dans les systèmes d'information sécurisés.

Les méthodes économiques pour assurer la sécurité des informations comprennent :

• élaboration de programmes visant à assurer la sécurité de l'information en Russie et détermination de la procédure de leur financement ;
• améliorer le système de financement des travaux liés à la mise en œuvre de méthodes juridiques, organisationnelles et techniques de protection de l'information, créer un système d'assurance des risques informationnels des personnes physiques et morales.

Les méthodes privées permettant d'assurer la sécurité de l'information en Russie sont divisées en méthodes dont l'utilisation est déterminée par les spécificités des différentes sphères de la vie de la société et de l'État. Chacun de ces domaines a ses propres caractéristiques liées au caractère unique des objets de sécurité et à leur degré de vulnérabilité aux menaces pour la sécurité de l'information. La doctrine n'indique pas directement des méthodes privées spécifiques, mais opère avec les objets les plus sensibles aux menaces pour la sécurité de l'information et les mesures qui devraient être prises dans les domaines de l'économie, de la politique intérieure et étrangère, de la science et de la technologie, de la vie spirituelle, de la défense et dans les domaines nationaux. systèmes d'information et de télécommunications, dans les domaines répressif et judiciaire dans les situations d'urgence.

GOST R ISO/IEC 17799 :2005 « Technologies de l'information. Règles pratiques pour la gestion de la sécurité de l'information"

Considérons maintenant le contenu de la norme ISO/IEC 17799. L’introduction précise que « l’information, les processus qui la soutiennent, les systèmes d’information et l’infrastructure réseau sont des atouts essentiels d’une organisation. La confidentialité, l'intégrité et la disponibilité des informations peuvent contribuer de manière significative à la compétitivité, à la liquidité, à la rentabilité, à la conformité et à la réputation d'une organisation. Ainsi, on peut dire que cette norme prend en compte les questions de sécurité de l'information, notamment du point de vue de l'effet économique.

Trois groupes de facteurs sont indiqués qui doivent être pris en compte lors de l'élaboration des exigences dans le domaine de la sécurité de l'information™ :

• - évaluation des risques de l'organisation. Grâce à l'évaluation des risques, les menaces pesant sur les actifs de l'organisation sont identifiées, la vulnérabilité des actifs concernés et la probabilité que les menaces se produisent, ainsi que les conséquences possibles sont évaluées ;
• — les exigences légales, statutaires, réglementaires et contractuelles qui doivent être respectées par l'organisation, ses partenaires commerciaux, entrepreneurs et prestataires de services ;
• - un ensemble spécifique de principes, d'objectifs et d'exigences développés par une organisation concernant le traitement de l'information. Une fois les exigences déterminées, la phase de sélection commence et

mise en œuvre de mesures de gestion de la sécurité de l’information qui garantiront une réduction des risques à un niveau acceptable. Le choix des mesures de gestion de la sécurité de l'information doit être basé sur le rapport entre le coût de leur mise en œuvre, l'effet de réduction des risques et les pertes possibles en cas de faille de sécurité. Des facteurs qui ne peuvent être exprimés en termes monétaires, comme la perte de réputation, doivent également être pris en compte. Une liste possible d'activités est donnée dans la norme, mais il est à noter qu'elle peut être complétée ou constituée indépendamment en fonction des besoins de l'organisation.

Énumérons brièvement les sections de la norme et les mesures de protection des informations qui y sont proposées. Le premier groupe concerne la politique de sécurité. Il est nécessaire qu'il soit élaboré, approuvé par la direction de l'organisation, publié et porté à la connaissance de tous les employés. Il devrait déterminer la procédure à suivre pour travailler avec les ressources d’information de l’organisation, les devoirs et responsabilités des employés. La politique est revue périodiquement pour refléter l'état actuel du système et les risques identifiés.

La section suivante aborde les questions organisationnelles liées à la sécurité de l'information. La norme recommande de créer des conseils de direction (avec la participation de la haute direction de l'entreprise) pour approuver la politique de sécurité, nommer les personnes responsables, répartir les responsabilités et coordonner la mise en œuvre des activités de gestion de la sécurité de l'information dans l'organisation. Le processus d'obtention de l'autorisation d'utiliser des outils de traitement de l'information (y compris de nouveaux logiciels et matériels) dans l'organisation doit également être décrit afin qu'il n'entraîne pas de problèmes de sécurité. Il est également nécessaire de déterminer la procédure d'interaction avec d'autres organisations sur les questions de sécurité de l'information, de consultations avec des spécialistes « externes » et de vérification (audit) indépendante de la sécurité de l'information.

Lors de la fourniture d'un accès aux systèmes d'information à des spécialistes d'organisations tierces, une attention particulière doit être accordée aux questions de sécurité. Une évaluation des risques liés aux différents types d'accès (physique ou logique, c'est-à-dire à distance) de ces spécialistes aux différentes ressources de l'organisation doit être réalisée. La nécessité de fournir l'accès doit être justifiée et les contrats avec des tiers et des organisations doivent inclure des exigences concernant le respect de la politique de sécurité. Il est proposé de faire de même en cas d'implication d'organismes tiers dans le traitement de l'information (externalisation).

La section suivante de la norme est consacrée à la classification et à la gestion des actifs. Pour garantir la sécurité des informations d'une organisation, il est nécessaire que tous les actifs informationnels clés soient comptabilisés et attribués à des propriétaires responsables. Nous suggérons de commencer par un inventaire. À titre d'exemple, la classification d'actifs suivante est donnée :

• - informations (bases de données et fichiers de données, documentation du système, etc.) ;
• - logiciels (logiciels d'application, logiciels système, outils et utilitaires de développement) ;
• - les actifs physiques (matériel informatique, matériel de communication, supports de stockage, autres équipements techniques, mobilier, locaux) ;
• - les services (services informatiques et de communication, services publics de base).

Ensuite, il est proposé de classer les informations afin de déterminer leur priorité, leur nécessité et leur degré de protection. Ce faisant, les informations pertinentes peuvent être évaluées en fonction de leur importance critique pour l'organisation, par exemple en termes de garantie de leur intégrité et de leur disponibilité. Après cela, il est proposé d'élaborer et de mettre en œuvre une procédure d'étiquetage lors du traitement de l'information. Des procédures d'étiquetage doivent être définies pour chaque niveau de classification afin de prendre en compte les types de traitement d'informations suivants :

• - copie ;
• - stockage;
• - transmission par courrier, fax et e-mail ;
• - transmission vocale, y compris téléphone mobile, messagerie vocale, répondeurs ;
• - destruction.

La section 6 traite des questions de sécurité liées au personnel. La norme détermine que les responsabilités en matière de respect des exigences de sécurité sont réparties au stade de la sélection du personnel, incluses dans les contrats de travail et contrôlées tout au long de la période d'emploi du salarié. Notamment, lors de sa candidature à un poste permanent, il est recommandé de vérifier l'authenticité des documents soumis par le candidat, l'exhaustivité et l'exactitude du curriculum vitae ainsi que les recommandations qui lui sont soumises. Il est recommandé aux employés de signer un accord de confidentialité indiquant quelles informations sont confidentielles ou sensibles. La responsabilité disciplinaire des employés qui enfreignent les politiques et procédures de sécurité de l'organisation doit être déterminée. Si nécessaire, cette responsabilité devrait perdurer pendant une période déterminée après la cessation d'emploi.

Les utilisateurs doivent être formés aux procédures de sécurité et à l'utilisation correcte des outils de traitement de l'information afin de minimiser les risques possibles. De plus, une procédure de signalement des violations de la sécurité de l'information doit être définie, qui doit être familiarisée avec le personnel. Une procédure similaire doit être suivie en cas de panne logicielle. De tels incidents doivent être enregistrés et analysés pour identifier les problèmes récurrents.

La section suivante de la norme aborde les questions de protection physique et environnementale. Il est précisé que « les moyens de traitement des informations de service critiques ou importantes doivent être situés dans des zones de sécurité désignées par un certain périmètre de sécurité doté de barrières de protection et de contrôles d'intrusion appropriés. Ces zones doivent être physiquement protégées contre tout accès non autorisé, tout dommage et tout impact. Outre l'organisation du contrôle d'accès aux espaces protégés, il convient de déterminer les modalités d'exécution des travaux dans celles-ci et, le cas échéant, les modalités d'organisation de l'accès des visiteurs. Les équipements (y compris ceux utilisés en dehors de l'organisation) doivent également être sécurisés pour réduire le risque d'accès non autorisé aux données et les protéger contre la perte ou les dommages. Ce groupe d'exigences comprend également la protection contre les pannes de courant et la protection des réseaux câblés. Une procédure de maintenance sensible à la sécurité de l'équipement et une procédure pour l'élimination ou la réutilisation en toute sécurité de l'équipement doivent également être établies. Par exemple, il est recommandé que les supports de stockage déclassés contenant des informations sensibles soient physiquement détruits ou écrasés de manière sécurisée plutôt que d'utiliser les fonctions standard de suppression de données.

Afin de minimiser le risque d'accès non autorisé ou d'endommagement des documents papier, des supports de stockage et des supports de traitement de l'information, il est recommandé de mettre en œuvre une politique de « bureau propre » pour les documents papier et les supports de stockage amovibles, ainsi qu'une politique de « écran propre » pour les documents papier et les supports de stockage amovibles. matériel de traitement de l’information. L'équipement, les informations ou les logiciels ne peuvent être retirés des locaux de l'organisation qu'avec l'autorisation appropriée.

Le titre de la section 8 est « Transfert de données et gestion des opérations ». Il exige que les responsabilités et les procédures associées au fonctionnement de toutes les installations de traitement de l'information soient établies. Par exemple, les changements de configuration dans les installations et les systèmes de traitement de l'information doivent être contrôlés. Il est nécessaire de mettre en œuvre le principe de séparation des responsabilités en ce qui concerne les fonctions de gestion, l'exécution de certaines tâches et domaines.

Il est recommandé de séparer les environnements de développement, de test et de production des logiciels. Les règles de transfert des logiciels du statut en cours de développement au statut accepté en exploitation doivent être définies et documentées.

Des risques supplémentaires surviennent lors du recours à des sous-traitants tiers pour gérer les installations de traitement de l’information. Ces risques doivent être identifiés à l'avance et des dispositions appropriées en matière de gestion de la sécurité de l'information doivent être convenues avec le contractant et incluses dans le contrat.

Pour fournir la capacité de traitement et de stockage nécessaire, il est nécessaire d'analyser les exigences de performance actuelles, ainsi que de prévoir celles à venir. Ces prévisions doivent prendre en compte les nouvelles exigences fonctionnelles et système, ainsi que les plans actuels et futurs de développement des technologies de l'information dans l'organisation. Les exigences et les critères d'adoption de nouveaux systèmes doivent être clairement définis, convenus, documentés et testés.

Des mesures doivent être prises pour prévenir et détecter l'introduction de logiciels malveillants tels que les virus informatiques, les vers de réseau, les chevaux de Troie et les bombes logiques. Il est à noter que la protection contre les logiciels malveillants doit reposer sur une compréhension des exigences de sécurité, des contrôles d'accès aux systèmes appropriés et une gestion appropriée des changements.

Des opérations auxiliaires telles que la sauvegarde des logiciels et des données, la journalisation des événements et des erreurs et, si nécessaire, la surveillance de l'état du matériel doivent être définies. Les dispositifs de redondance pour chaque système individuel doivent être testés régulièrement pour garantir qu'ils répondent aux exigences des plans de continuité des activités.

Assurer la sécurité des informations sur les réseaux et protéger l’infrastructure de support nécessite la mise en œuvre de contrôles de sécurité et la protection des services connectés contre tout accès non autorisé.

Une attention particulière est portée à la sécurité des différents types de supports de stockage : documents, supports de stockage informatiques (bandes, disques, cassettes), données d'entrée/sortie et documentation du système contre tout dommage. Il est recommandé d'établir une procédure d'utilisation des supports de stockage informatiques amovibles (procédure de contrôle du contenu, de stockage, de destruction, etc.). Comme indiqué ci-dessus, les supports de stockage doivent être éliminés en toute sécurité après utilisation.

Afin d'assurer la protection des informations contre toute divulgation non autorisée ou toute utilisation abusive, il est nécessaire d'établir des procédures de traitement et de stockage des informations. Ces procédures doivent être conçues pour catégoriser les informations et s'appliquer aux documents, aux systèmes informatiques, aux réseaux, aux ordinateurs portables, aux communications mobiles, au courrier, à la messagerie vocale, aux communications vocales en général, aux appareils multimédias, à l'utilisation du fax et à tout autre élément sensible tel que les formulaires, les chèques. et les factures. La documentation du système peut contenir certaines informations importantes et doit donc également être protégée.

Le processus d'échange d'informations et de logiciels entre organisations doit être maîtrisé et conforme à la législation en vigueur. En particulier, la sécurité des supports d'information lors de la transmission doit être assurée et une politique d'utilisation des systèmes de courrier électronique et de bureautique doit être définie. Des précautions doivent être prises pour protéger l'intégrité des informations publiées électroniquement, telles que les informations sur un site Web. Un processus d’autorisation formalisé approprié est également requis avant que ces informations ne soient rendues publiques.

La section suivante de la norme est consacrée aux questions de contrôle d'accès. Cela nécessite que les règles de contrôle d'accès et les droits de chaque utilisateur ou groupe d'utilisateurs soient définis de manière unique par la politique de sécurité. Les utilisateurs et les prestataires de services doivent être sensibilisés à la nécessité de se conformer à ces exigences.

Lors de l'utilisation de l'authentification par mot de passe, il est nécessaire de garder le contrôle sur les mots de passe des utilisateurs. En particulier, les utilisateurs doivent signer un document s'engageant à maintenir une totale confidentialité des mots de passe. Il est nécessaire d'assurer la sécurité du processus d'obtention d'un mot de passe pour l'utilisateur et, si celui-ci est utilisé, de la gestion par les utilisateurs de leurs mots de passe (forcer un changement de mot de passe après la première connexion, etc.).

L’accès aux services réseau internes et externes doit être contrôlé. Les utilisateurs doivent avoir un accès direct uniquement aux services pour lesquels ils ont été autorisés. Une attention particulière doit être portée à l'authentification des utilisateurs distants. Sur la base de l'évaluation des risques, il est important de déterminer le niveau de protection requis afin de sélectionner la méthode d'authentification appropriée. La sécurité de l'utilisation des services réseau doit également être surveillée.

De nombreux appareils réseau et informatiques disposent de capacités intégrées de diagnostic et de gestion à distance. Des mesures de sécurité doivent également s'appliquer à ces installations.

Lorsque les réseaux sont partagés par plusieurs organisations, les exigences en matière de politique de contrôle d'accès doivent être définies pour en tenir compte. Il peut également être nécessaire de mettre en œuvre des contrôles supplémentaires de sécurité des informations pour limiter la capacité des utilisateurs à se connecter.

Au niveau du système d'exploitation, des mesures de sécurité des informations doivent être utilisées pour restreindre l'accès aux ressources informatiques. Il s'agit de l'identification et de l'authentification des terminaux et des utilisateurs. Il est recommandé que tous les utilisateurs disposent d'identifiants uniques, qui ne doivent contenir aucune indication sur le niveau de privilège de l'utilisateur. Les systèmes de gestion des mots de passe doivent fournir des capacités interactives efficaces pour maintenir la qualité requise. L'utilisation des utilitaires système doit être limitée et soigneusement contrôlée.

Il est conseillé de prévoir une alarme au cas où l'utilisateur pourrait devenir la cible de violences (si un tel événement est jugé probable). Les responsabilités et les procédures pour répondre à une telle alarme doivent être définies.

Les terminaux desservant des systèmes à haut risque, lorsqu'ils sont situés dans des endroits facilement accessibles, doivent être éteints après une certaine période d'inactivité afin d'empêcher l'accès de personnes non autorisées. Une restriction sur la durée pendant laquelle les terminaux sont autorisés à se connecter aux services informatiques pourrait également être introduite.

Des mesures de sécurité des informations doivent également être appliquées au niveau des applications. Cela peut notamment restreindre l'accès à certaines catégories d'utilisateurs. Les systèmes qui traitent des informations importantes doivent être dotés d’un environnement informatique dédié (isolé).

La surveillance du système est nécessaire pour détecter les écarts par rapport aux exigences de la politique de contrôle d'accès et fournir des preuves en cas d'incident de sécurité des informations. Les résultats du suivi doivent être examinés régulièrement. Le journal d'audit peut être utilisé pour enquêter sur des incidents. Un réglage (synchronisation) correct de l'horloge de l'ordinateur est donc très important.

Lors de l'utilisation d'appareils portables, tels que des ordinateurs portables, il est nécessaire de prendre des mesures spéciales pour contrecarrer la compromission d'informations exclusives. Des politiques formalisées devraient être adoptées pour traiter les risques associés au travail avec des appareils portables, en particulier dans des environnements non sécurisés.

La dixième section de la norme est intitulée « Développement et maintenance du système ». Déjà au stade du développement des systèmes d'information, il est nécessaire de s'assurer que les exigences de sécurité sont prises en compte. Et pendant le fonctionnement du système, il est nécessaire d'éviter la perte, la modification ou l'utilisation abusive des données des utilisateurs. Pour ce faire, il est recommandé que les systèmes d'application fournissent une confirmation de l'exactitude des entrées et des sorties de données, le contrôle du traitement des données dans le système, l'authentification des messages et la journalisation des actions des utilisateurs.

Des mesures de sécurité cryptographiques peuvent être utilisées pour garantir la confidentialité, l'intégrité et l'authentification des données.

Garantir l’intégrité des logiciels joue un rôle important dans le processus de sécurité des informations. Pour minimiser les dommages aux systèmes d'information, la mise en œuvre des changements doit être strictement contrôlée. De temps en temps, il est nécessaire d'apporter des modifications aux systèmes d'exploitation. Dans ces cas, il est nécessaire d’analyser et de tester les systèmes d’application pour s’assurer qu’il n’y a pas d’impact négatif sur leur fonctionnalité et leur sécurité. Dans la mesure du possible, il est recommandé d'utiliser des progiciels prêts à l'emploi sans modification.

Un problème connexe est la lutte contre les chevaux de Troie et l’utilisation de canaux de fuite secrets. L'une des contre-mesures consiste à utiliser des logiciels obtenus auprès de fournisseurs de confiance et à surveiller l'intégrité du système.

Dans les cas où une organisation tierce est impliquée dans le développement de logiciels, il est nécessaire de prévoir des mesures pour contrôler la qualité et l'exactitude du travail effectué.

La section suivante de la norme est consacrée à la gestion de la continuité des activités. Au stade initial, il est censé identifier les événements susceptibles de provoquer une interruption des processus métiers (panne d'équipement, incendie, etc.). Dans ce cas, il est nécessaire d’évaluer les conséquences, puis d’élaborer des plans de redressement. L'adéquation des plans doit être confirmée par des tests, et eux-mêmes doivent être périodiquement révisés pour tenir compte des changements survenant dans le système.

La dernière section se concentre sur les questions de conformité. Tout d'abord, il s'agit de la conformité du système et des modalités de son fonctionnement aux exigences légales. Cela inclut les questions de respect des droits d'auteur (y compris les logiciels), de protection des informations personnelles (employés, clients) et de prévention de l'utilisation abusive des outils de traitement de l'information. Lors de l'utilisation de mesures de sécurité des informations cryptographiques, celles-ci doivent se conformer à la législation en vigueur. La procédure de collecte des preuves en cas de litiges liés à des incidents dans le domaine de la sécurité des systèmes d'information doit également être minutieusement élaborée.

Les systèmes d'information eux-mêmes doivent être conformes à la politique de sécurité de l'organisation et aux normes utilisées. La sécurité des systèmes d’information doit être régulièrement analysée et évaluée. Dans le même temps, il est nécessaire de respecter les mesures de sécurité lors de la réalisation d'un audit de sécurité afin que cela n'entraîne pas de conséquences indésirables (par exemple, la panne d'un serveur critique due à un audit).

En résumé, on peut noter que la norme aborde un large éventail de questions liées à la garantie de la sécurité des systèmes d'information et fournit des recommandations pratiques dans un certain nombre de domaines.

• Un exemple de ceci serait les mots de passe de connexion « sous la contrainte ». Si l'utilisateur saisit un tel mot de passe, le système affiche le processus de connexion normal de l'utilisateur, puis simule un échec pour empêcher les attaquants d'accéder aux données.

Introduction

Protection des informations en Fédération de Russie

Cadre législatif régissant les relations dans le domaine de la sécurité de l'information

La législation sur l'information est la principale source du droit de l'information

Questions juridiques liées à la sécurité de l'information

Conclusion

Bibliographie

Introduction

Actuellement, les conditions nécessaires à la transition vers une société de l'information sont réunies dans la Fédération de Russie. Les problèmes juridiques liés à la régulation des relations d'information lors de la construction d'une société de l'information en Russie nécessitent actuellement une étude approfondie, car les processus d'information et de communication fortement accélérés de la mondialisation évoluent vers un état qualitativement nouveau - en temps réel. Les nouvelles relations sociales qui naissent à cet égard nécessitent une réglementation juridique adéquate.

Le but du travail est d'examiner les sources du droit régissant les relations dans le domaine de la sécurité de l'information, de comprendre l'intégralité de leur reflet des réalités existantes de la vie publique, éventuellement de constater des lacunes dans la législation et de proposer des moyens de les résoudre.

Sur la base des objectifs, les tâches suivantes ont été définies :

étudier le concept de sécurité de l'information;

considérer les règles de droit régissant les relations publiques dans le domaine de la sécurité de l'information ;

refléter le degré de conformité des normes existantes avec les relations réellement existantes ;

formulez vos propositions pour améliorer la législation.

1. Protection des informations en Fédération de Russie

Dans un sens pratique, compréhensible par tous, la définition de l'information a été donnée par S.I. Ojegov :

Les informations sont :

) des informations sur le monde environnant et les processus qui s'y déroulent ;

Aucune sphère de la vie dans la société moderne ne peut fonctionner sans une structure d'information développée. Pénétrant dans toutes les sphères de l'activité étatique, l'information acquiert des expressions politiques, matérielles et financières spécifiques. Dans ce contexte, la tâche consistant à assurer la sécurité de l'information de la Fédération de Russie, en tant qu'élément intégral de sa sécurité nationale, est devenue de plus en plus urgente au cours des dernières décennies, et surtout aujourd'hui, et la protection de l'information devient l'une des tâches prioritaires du gouvernement. . La protection de l'information est assurée dans tout État et passe par de nombreuses étapes dans son développement, en fonction des besoins de l'État, des capacités, des méthodes et des moyens de l'obtenir (en particulier le renseignement), du régime juridique de l'État et de ses efforts réels pour assurer la protection des informations.

Actuellement, des changements majeurs ont lieu dans la méthodologie de la sécurité de l'information. On passe d’une dissimulation coûteuse de quantités manifestement gonflées de données à une protection garantie de « points nodaux » d’importance fondamentale.

2. Cadre législatif régissant les relations dans le domaine de la sécurité de l'information

La politique de l'État de la Fédération de Russie visant à garantir la sécurité de l'information est mise en œuvre par l'adoption de lois, l'application des lois et la participation de l'État au développement de la conscience juridique et de la culture juridique des citoyens.

Dans la Fédération de Russie, les actes juridiques réglementaires dans le domaine de la sécurité de l'information comprennent :

Actes de la législation fédérale :

Traités internationaux de la Fédération de Russie ;

Constitution de la Fédération de Russie ;

Lois au niveau fédéral (y compris les lois constitutionnelles fédérales et les codes) ;

Décrets du Président de la Fédération de Russie ;

Décrets du gouvernement de la Fédération de Russie ;

Actes juridiques réglementaires des ministères et départements fédéraux ;

Actes juridiques réglementaires des entités constitutives de la Fédération de Russie, des organes d'autonomie locale, etc.

Les documents réglementaires et méthodologiques comprennent

Documents méthodologiques des organismes gouvernementaux russes :

Doctrine de la sécurité de l'information de la Fédération de Russie ;

Documents directeurs du FSTEC (Commission technique d'État de Russie) ;

Ordonnances du FSB ;

Normes de sécurité de l'information, parmi lesquelles on distingue :

Consignes méthodiques.

Ces dernières années, la législation russe a été considérablement mise à jour. Cela a particulièrement touché les domaines de la réglementation juridique dans lesquels des actes codifiés ont été adoptés, notamment les Codes civil, fiscal, budgétaire, familial, pénal, des eaux et forêts, foncier, du travail, de procédure civile et de procédure pénale, ainsi que le Code des infractions administratives. Avec leur adoption, de réelles conditions sont apparues pour procéder à une systématisation complète de la législation et à la publication du Code des lois de la Russie.

Lors de la transformation de la législation dans le domaine de l'information en une industrie indépendante, la législation émergente dans le domaine de la sécurité de l'information est une sous-branche de la législation sur l'information, et lorsqu'elle est codifiée et si le Code de l'information de la Fédération de Russie est adopté, elle peut devenir sa partie intégrante. Aujourd'hui, reconnaissant le droit de l'information comme une branche du droit russe, il convient de prendre en compte que la législation sur l'information en tant que branche de la législation russe ne lui correspond pas dans la législation et que sa formation est une question difficile, apparemment conçue depuis de nombreuses années.

. La législation sur l'information est la principale source du droit de l'information

Les questions liées à la législation sur l'information nécessitent de refléter l'attention de l'État sur un certain nombre de domaines d'activité dans le domaine de l'informatisation. On peut citer les plus évidents.

Formation de ressources informationnelles et développement d'activités informationnelles - activités directement liées à la collecte, au stockage, au traitement, à la transmission d'informations sous diverses formes organisationnelles (documentées, sonores, lumineuses, numériques, etc.) ; activités visant à créer des moyens de traitement de l'information sous forme électronique - la création de programmes, de logiciels et d'autres moyens de travail avec l'information et son transport (communication) à travers des canaux de communication, des réseaux conformément aux types d'organisation des systèmes d'information et des réseaux basés sur les technologies modernes réalisations techniques et technologiques; gestion de la qualité des technologies de l'information (fiabilité, exhaustivité, invulnérabilité des informations transmises et création de moyens de protection dans les systèmes de sécurité de l'information) ; organisation du marché des technologies de l'information. Tous ces domaines peuvent être combinés en un bloc pour la formation d'une branche spéciale de l'informatique, combinant les problèmes de création, de production et d'utilisation des technologies de l'information, les technologies de l'information au sens large.

Le deuxième élément majeur du système d'administration publique est l'activité d'organisation de l'utilisation des technologies de l'information et des ressources d'information dans divers domaines du développement social.

Les problèmes d'informatisation de l'économie, de l'écologie, de la santé, de toutes branches de production, de la science, de l'éducation, des activités culturelles et éducatives, de la formation et de l'utilisation de types et de formes appropriés de ressources d'information sont concentrés ici. Cela inclut également les problèmes d'informatisation régionale et sectorielle et la formation de branches spéciales de l'administration publique dans ce domaine.

Cette direction couvre les processus d'informatisation des activités des autorités de l'État et de l'autonomie locale et leur interaction. Les activités des organes gouvernementaux - législatifs, exécutifs, répressifs - ne peuvent être productives et efficaces que si les technologies de l'information sont utilisées dans le travail de l'appareil de chaque organe et dans le système d'interaction entre les différents organes.

Le quatrième bloc dans le domaine de l'administration publique dans le domaine des technologies de l'information comprend les activités de chacun des ministères et organismes gouvernementaux, qui, de manière indépendante et en tenant compte de leurs besoins, fournissent des processus de support informationnel pour leurs activités. En l'absence d'une bonne coordination au niveau fédéral, ce domaine d'activité est soumis au localisme et aboutit à un gaspillage injustifié de fonds et à une incompatibilité des technologies de l'information, y compris les technologies de l'information, dans un seul espace du pays.

Soutenir les processus d’informatisation dans tous les secteurs de l’économie et de la culture du pays, dans tous les domaines du développement social et des moyens de subsistance ; attirer la population vers de nouvelles méthodes de travail avec l'information basées sur l'éducation à la culture de l'information, le recyclage du personnel et la formation de masse de la jeune génération pour travailler dans de nouvelles conditions. Les problèmes organisationnels et juridiques visant à assurer la mise en œuvre du droit à l'information sur divers sujets et à résoudre les conflits dans le domaine de la formation et de l'utilisation des technologies de l'information sont concentrés ici.

Tous les domaines désignés de l'administration publique dans le domaine des technologies de l'information sont mis en œuvre sur la base de la création et de l'application de lois et d'autres actes juridiques pertinents, de l'introduction de normes, méthodes et règles obligatoires de l'État.

4. Problèmes juridiques de sécurité de l'information

La loi de la Fédération de Russie « sur la sécurité » définit la sécurité comme l'état de protection des intérêts vitaux de l'individu, de la société et de l'État.

Il existe trois domaines principaux de soutien juridique à la sécurité de l’information.

Première direction. Protection de l'honneur, de la dignité et de la réputation commerciale des citoyens et des organisations ; spiritualité et niveau intellectuel de développement personnel; idéaux moraux et esthétiques; stabilité et durabilité du développement de la société ; souveraineté de l'information et intégrité de l'État contre les menaces d'exposition à des informations nuisibles, dangereuses, de mauvaise qualité, peu fiables, fausses, désinformation, de dissimulation d'informations sur le danger pour la vie d'un individu, le développement de la société et de l'État, de violer l'ordre de diffusion de l'information.

Deuxième direction. Protection des informations et des ressources d'information, principalement à accès limité (tous types de secrets, y compris les secrets personnels), ainsi que des systèmes d'information, des technologies de l'information, des communications et des télécommunications contre la menace d'influence non autorisée et illégale de tiers.

Troisième direction. Protection des droits à l'information et des libertés individuelles (droit de produire, distribuer, rechercher, recevoir, transmettre et utiliser des informations ; droits de propriété intellectuelle ; droits de propriété sur les ressources d'information et les informations documentées, les systèmes et technologies d'information) dans le domaine de l'information dans le contexte de informatisation.

Le mode de protection des informations est défini :

en ce qui concerne les informations documentées confidentielles - par le propriétaire des ressources d'information ou une personne autorisée ;

concernant les données personnelles.

En général, les questions dans ce domaine du soutien juridique à la sécurité de l'information sont conditionnellement divisées en protection des informations ouvertes et protection des informations restreintes.

La protection des informations ouvertes est assurée selon les normes de l'Institut de l'information documentée. La protection des informations à accès restreint est régie par les normes suivantes : l'Institut des secrets d'État, l'Institut des secrets commerciaux, l'Institut des données personnelles, ainsi que les normes de protection des autres types de secrets.

Les objets des relations juridiques dans le domaine de la sécurité de l'information sont la spiritualité, la moralité et l'intellectualité de l'individu et de la société, les droits et libertés de l'individu dans le domaine de l'information ; système démocratique, connaissances et valeurs spirituelles de la société ; l'ordre constitutionnel, la souveraineté et l'intégrité territoriale de l'État.

Les sujets des relations juridiques dans le domaine de la sécurité de l'information sont l'individu, l'État, les autorités législatives, exécutives et judiciaires, le système de sécurité et les citoyens.

La responsabilité pour les infractions dans le domaine de l'information est établie par la responsabilité civile, administrative et pénale.

Le principal problème dans le domaine de la sécurité de l'information est l'absence actuelle d'un code législatif codifié qui regrouperait tous les articles dispersés dans la législation russe sur la sécurité de l'information et le droit de l'information en général, en tant que branche du droit.

Conclusion

sécurité de l'information législatif juridique

La sécurité de l'information de la société et de l'État se caractérise par le degré de leur sécurité et, par conséquent, la stabilité des principales sphères de la vie de l'économie, de la science, de la technosphère, de la gestion, des affaires militaires, de la conscience publique, etc.

La science juridique ne peut encore se fixer sur aucun modèle spécifique dans le domaine de la régulation et de la protection de la propriété intellectuelle et notamment des droits exclusifs des créateurs de produits informationnels et technologiques. Cependant, le droit doit répondre aux conflits dans cet environnement. Un domaine de travail important et un domaine de création d'une infrastructure adéquate dans le domaine de l'informatique se forment autour de la création et de l'utilisation d'objets tels que la technologie de l'information et l'informatique.

La sécurité de l'information est déterminée par la capacité à neutraliser l'impact des informations dangereuses, déstabilisantes, destructrices et portant atteinte aux intérêts du pays au niveau de la mise en œuvre et de l'extraction de l'information.

En conclusion, il faut dire que la sécurité de l’information en Russie est un élément fondamental de la sécurité nationale de la Russie. Elle affecte directement le travail efficace des organismes gouvernementaux et constitue un facteur essentiel de la lutte contre la criminalité organisée et le terrorisme mondial.

L'introduction des technologies modernes et le cadre législatif pour la protection de l'information devraient devenir un maillon puissant du renforcement de la verticale du pouvoir en Russie et de son établissement en tant qu'État économiquement et politiquement fort sur la scène mondiale.

Bibliographie

1.La Constitution de la Fédération de Russie a été adoptée par vote populaire le 12 décembre 1993.

Code civil de la Fédération de Russie (quatrième partie) du 18 décembre 2006 n° 230-FZ (tel que modifié le 8 décembre 2011)

Loi fédérale du 28 décembre 2010 n° 390-FZ « sur la sécurité »

4.Gorbatchev contre.S. Problèmes conceptuels liés à l'utilisation d'outils de protection des informations cryptographiques dans les systèmes d'information. M. 2007.

6.Ojegov S.I. Dictionnaire de la langue russe. M., 1978.

Dans les conditions de la société de l'information moderne, les questions de sécurité de l'information constituent une partie particulièrement importante de la réglementation juridique des relations publiques. Il ne fait aucun doute que les mesures d'influence publique et les actions d'entités privées - participants aux relations juridiques en matière d'information - visent à assurer la sécurité de l'information. En outre, la sécurité de l'information est une institution dont l'importance est soulignée par le nombre important et la variété des relations juridiques dans le domaine de la garantie de la sécurité de l'information de l'individu, de la société et de l'État. Cependant, c’est précisément cette diversité qui pose des problèmes dans l’interprétation et l’application des mécanismes de sécurité de l’information.

Le rôle croissant de l'information, des ressources et des technologies de l'information devient stratégique, ce qui place les questions de sécurité de l'information au premier plan dans le système visant à garantir la sécurité nationale, la sécurité de l'État, de la société et de l'individu. Dans le cadre de la sécurité nationale, la sécurité de l'information a un impact significatif sur l'état de protection des intérêts de la Fédération de Russie dans les domaines économique, international, public, fédéral, de la défense et autres sphères de la vie sociale.

Cependant, il ne faut pas oublier que l'Institut de la sécurité de l'information, de par sa nature, vise à trouver des mécanismes efficaces pour protéger les droits et libertés individuels dans le domaine de l'information. L'implication active des citoyens dans les relations juridiques en matière d'information conduit à une attention accrue non seulement à la protection de leurs données personnelles dans la sphère en ligne, mais aussi, en général, à l'utilisation sûre de la technologie dans les interactions quotidiennes.

Pour résoudre rapidement les problèmes émergents et les lacunes de la réglementation juridique, de nouvelles sources réglementaires et, par conséquent, de nouveaux mécanismes pour garantir la sécurité de l'information apparaissent. En particulier, l'une des principales mesures consiste à améliorer la sécurité du fonctionnement des systèmes d'information et de télécommunication des infrastructures critiques et des installations à haut risque. Cette mesure est mise en œuvre en augmentant le niveau de sécurité des systèmes d'information de l'État, des entreprises et des individus, en créant un système unifié de support d'information et de télécommunications pour les besoins du système de sécurité nationale. La tendance à donner la priorité à la sécurité de l'information des systèmes est visible non seulement en Russie, mais également dans les pays étrangers. Il semble qu’assurer la sécurité des infrastructures et des systèmes d’information critiques ne soit pas suffisant pour réaliser les droits et les intérêts légitimes de l’individu dans le domaine de l’information. Assurer la sécurité des mineurs, fournir l'accès à l'information, exercer les droits à la liberté d'expression et au secret des communications n'entre pas dans le champ des mesures de nature méthodologique et technologique et nécessite d'autres principes, une autre réglementation et une autre terminologie permettant de séparer de manière fiable les intérêts de l'individu, de la société et de l'État dans le domaine de l'information.

La discussion sur le contenu du terme « sécurité des informations personnelles » accompagne les discussions sur le concept plus général et plus large de « sécurité de l'information » et ses différences avec le terme « cybersécurité ». De plus, il n'existe actuellement pas d'unité parmi les chercheurs pour définir l'éventail des objets et des relations réglementés par l'Institut de la sécurité de l'information.

Concernant la relation entre les termes « cybersécurité » et « sécurité de l'information », il convient de mentionner l'approche selon laquelle il est proposé d'utiliser le terme « cybersécurité » en relation avec tous les processus de création, d'exploitation et d'évolution d'objets fonctionnant avec le participation de moyens programmables afin d'identifier les sources de danger pouvant leur causer des dommages, et la formation d'une réglementation régissant les termes, exigences, règles, recommandations et techniques, dont la mise en œuvre doit garantir la sécurité des cyberobjets de tous les connus et étudié les sources de cyber-danger.

Dans la science juridique russe également, il existe une théorie bien fondée selon laquelle le terme « sécurité de l'information » est actuellement incorrect en raison de l'absence d'une définition complète de l'information et de ses propriétés. Il est plutôt proposé d'utiliser le terme « sécurité de l'information », décrit comme la protection de la confidentialité, de l'intégrité et de la disponibilité des informations.

Cependant, les sources juridiques réglementaires actuellement existantes nous permettent d'être en désaccord avec ce concept, puisque la sécurité de l'information est déjà réglementée en tant qu'institution indépendante, de sorte qu'un développement ultérieur de la terminologie semble possible au sein de cette institution ou simultanément avec elle dans le domaine du droit de l'information. Par ailleurs, dans le cadre de cet article, la protection de l'information est également considérée comme un cas particulier de garantie de la sécurité de l'information, puisque cette dernière concerne non seulement l'élimination des menaces contre l'information, mais également le domaine de la garantie des intérêts plus généraux de l'information. l'individu, la société et l'État.

Concernant la classification des relations incluses dans le champ d'application de la réglementation de la sécurité de l'information, il existe dans la littérature scientifique une approche selon laquelle la sécurité de l'information est divisée en sécurité de l'information dans l'environnement social, visant à maintenir une conscience publique adéquate à l'image objective du monde. , et la sécurité de l'information dans le domaine technique, visant à leur tour à empêcher l'impact sur divers moyens techniques. Cette classification semble incomplète, car elle ne prend pas en compte l’étendue de l’exercice par le citoyen de ses droits dans l’environnement de l’information, limitant la composante sociale de la sécurité de l’information au seul domaine de la régulation juridique des activités médiatiques.

De plus, il existe une classification selon laquelle la sécurité de l'information peut être divisée en deux domaines indépendants : la sécurité de l'information et la sécurité de l'information. La sécurité de l'information signifie la protection des informations, et la sécurité de l'information signifie la protection contre les informations dangereuses. Cette approche n'est pas non plus assez universelle, puisqu'elle ne reflète pas l'ensemble des relations juridiques en matière d'information.

Le premier ouvrage sur la classification des relations informationnelles dans le cadre du soutien juridique à la sécurité de l'information a été l'œuvre de V.N. Lopatina - Le concept de développement de la législation dans le domaine de la sécurité de l'information, adopté à la Douma d'État de la 2e convocation, qui a été développé à la fois dans les travaux de cet auteur et dans l'adoption de lois pertinentes (par exemple, la loi fédérale de 29 décembre 2010 N 436- Loi fédérale « Sur la protection des enfants contre les informations préjudiciables à leur santé et à leur développement »).

A cet égard, il semble plus préférable de distinguer trois aspects de la sécurité de l'information : les technologies de l'information (développement des infrastructures de l'information, des moyens de transmission, de traitement, de stockage de l'information, des modalités de protection de l'information, etc.) ; organisationnel et juridique (gestion des ressources informationnelles, augmentation de l'efficacité de leur utilisation, développement des services d'information, régulation des processus dans la sphère de l'information, etc.) ; psychologique et pédagogique (formation de valeurs spirituelles et morales, développement de fonctions personnelles d'autorégulation, etc.). Une telle classification nous permet de refléter pleinement les approches énoncées dans la législation en vigueur de la Fédération de Russie dans le domaine de la garantie de la sécurité des informations de l'individu, de la société et de l'État.

La doctrine de sécurité de l'information de la Fédération de Russie de 2016 est, comme indiqué à l'art. 1, un système de « vues officielles sur la garantie de la sécurité nationale de la Fédération de Russie dans le domaine de l'information », selon lequel, semble-t-il, un système de réglementation juridique normative de la sécurité de l'information en Russie est ensuite construit.

La doctrine, telle qu'énoncée à l'art. 5, est basé sur les dispositions de la Stratégie de sécurité nationale de la Fédération de Russie, ainsi que sur d'autres documents stratégiques, qui peuvent également inclure la Stratégie de développement scientifique et technologique de la Fédération de Russie, de nombreux accords entre la Fédération de Russie et d'autres pays sur coopération dans le domaine de la garantie de la sécurité internationale de l'information et des communications, ainsi qu'un certain nombre de décrets du Président de la Fédération de Russie. La combinaison de ces lois et des lois fédérales correspondantes nous permet de conclure qu'il existe une réglementation détaillée de l'institution de sécurité des informations personnelles, déterminant sa relation avec la sécurité des informations de l'État et de la société.

Cependant, une analyse plus fine de ces sources permet de mettre en évidence un certain nombre de contradictions. Ainsi, la doctrine de la sécurité de l'information de la Fédération de Russie place les besoins de l'individu en premier lieu lors de l'énumération des intérêts nationaux de la Fédération de Russie dans le domaine de l'information, ce qui donne lieu à parler du caractère prioritaire de la protection des droits et des intérêts de l'information. individuel. En outre, la sécurité de l'information dans la Fédération de Russie repose avant tout sur l'état de sécurité des personnes, "... qui garantit la mise en œuvre des droits et libertés constitutionnels de l'homme et du citoyen, une qualité et un niveau de vie décents pour les citoyens".

Cependant, en même temps, par exemple, à l'art. 6 de la Stratégie de sécurité nationale de la Fédération de Russie contient des dispositions qui définissent une priorité différente : « La sécurité nationale comprend la défense du pays et tous les types de sécurité prévus par la Constitution de la Fédération de Russie et la législation de la Fédération de Russie, principalement État, public, information, environnement, économie, transport, sécurité énergétique, sécurité personnelle.

Des incohérences similaires se retrouvent également dans les dispositions du programme d'État de la Fédération de Russie « Société de l'information (2011 - 2020) », qui définit la Doctrine de la sécurité de l'information de la Fédération de Russie comme un document donnant la priorité au confinement stratégique et à la prévention des conflits militaires qui peuvent résultent de l'utilisation des technologies de l'information, au lieu d'assurer la protection des droits et des intérêts des citoyens dans le domaine de l'information. Compte tenu de cela, la sécurité de l'information est considérée dans le cadre de ce programme comme une caractéristique qualitative de la construction de systèmes et de réseaux technologiques, ce qui semble être une interprétation trop étroite de cette institution. Assurer la sécurité du fonctionnement des infrastructures d'information et de télécommunications et des systèmes de télécommunications, bien qu'il s'agisse d'un outil nécessaire pour assurer la sécurité de l'information des individus, de la société et de l'État, n'y est pas identique.

Des contradictions encore plus grandes dans la détermination du contenu de l'institution de sécurité des informations personnelles peuvent être trouvées lors de l'analyse de documents réglementaires plus spécialisés. D'une part, l'accord visant à assurer la sécurité de l'information dans le cadre des procédures douanières générales dans les États membres de la Communauté économique eurasienne ne contient aucune référence ni référence aux droits et intérêts des individus ou des citoyens. Ce document réglemente exclusivement les aspects de détermination du mode d'information transmis par les messages électroniques, tels que la protection contre les virus, contre l'accès non autorisé aux ordinateurs et équipements de télécommunications, assurer la sécurité des réseaux, analyser la sécurité du système, etc.

D'autre part, les Accords entre le Gouvernement de la Fédération de Russie et le Gouvernement de la République d'Afrique du Sud, le Gouvernement de la République fédérative du Brésil, le Gouvernement de la République populaire de Chine, ainsi que l'Accord de coopération de les États membres de la Communauté des États indépendants dans le domaine de la sécurité de l'information établissent directement dans le texte que la coopération internationale entre les parties sur les questions liées à la sécurité de l'information repose sur la reconnaissance du principe d'équilibre entre la garantie de la sécurité et le respect des droits de l'homme dans le domaine de l'utilisation des technologies de l'information et de la communication, ainsi que la reconnaissance du rôle de la sécurité de l'information dans la garantie des droits et libertés fondamentales de l'homme et du citoyen.

Il est évident qu'au niveau de la coopération juridique internationale, les questions de distinction entre la sécurité de l'information en général, la sécurité de l'information de l'État et la sécurité de l'information de l'individu n'ont pas été suffisamment résolues. En outre, des problèmes de réglementation détaillée peuvent être identifiés en analysant la législation actuelle en matière d'information.

Ainsi, la loi fédérale n° 149-FZ du 27 juillet 2006 « sur l'information, les technologies de l'information et la protection de l'information », qui est fondamentale dans le domaine informationnel et juridique, ne contient aucune réglementation sur la sécurité des informations personnelles. Les dispositions concernant certains aspects de la réglementation sur la sécurité de l'information visent à assurer la sécurité de la Fédération de Russie lors de la création et du fonctionnement des systèmes d'information, à protéger les informations de ces systèmes et à mettre en œuvre des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles. Il est évident que ces dispositions ont également une orientation purement technique et méthodologique et définissent des mesures individuelles pour fournir ou restreindre l'accès à certains types d'informations. De plus, la loi ne contient pas de définition de la sécurité de l'information ni de références à d'autres actes contenant une telle définition. Cependant, en plus des domaines ci-dessus de réglementation technique de la sécurité de l'information, la loi fait référence à une institution distincte de sécurité de l'information pour les enfants, qui a une interprétation plus large, puisque la protection des enfants est assurée afin de prévenir tout préjudice pour leur santé. et le développement moral.

Il serait juste de conclure que les actes juridiques réglementaires modernes ne contiennent pas une réglementation suffisante de l'institution de la sécurité des informations personnelles, ainsi que des critères permettant de la distinguer de la sécurité de l'information au sens large utilisé dans les documents stratégiques fondamentaux. De plus, certains chercheurs russes interprètent un document stratégique tel que la Doctrine de la sécurité de l'information comme un outil de « lutte immédiate et constante contre les activités destructrices d'éléments étrangers dans la sphère de l'information », ce qui ne permet pas non plus de déterminer pleinement la place de la individu dans le système de mesures visant à assurer la sécurité de l'information. Il semble qu'il soit nécessaire de créer un appareil terminologique clair pour réglementer correctement diverses relations. Par exemple, en utilisant la classification ci-dessus, introduire le terme « sécurité informatique et technique » ou, à l'inverse, consolider normativement le concept de cybersécurité au sein de l'institution de sécurité de l'information.

En outre, une approche aussi étroite de la compréhension de la sécurité de l'information exclut presque complètement les garanties garantissant l'un des droits constitutionnels fondamentaux de l'individu - le droit à l'information, qui, sans aucun doute, fait partie du cercle des intérêts protégés par la sécurité de l'information de l'individu. . Lors de la mise en œuvre du droit à l'information dans les conditions modernes, nous ne parlons plus de l'accès le plus large possible à l'information, mais du caractère qualitatif de l'accès à l'information qui répond à certains critères (pas seulement le droit à l'information, mais le droit à l'objectivité, informations fiables et sûres) prenant en compte les traditions nationales et culturelles de la Russie, ainsi que la protection contre les menaces d'information existantes.

Actuellement, dans les actes juridiques réglementaires et dans la doctrine russe, il n'existe pas de position sans ambiguïté sur la relation relative entre les termes « sécurité des informations personnelles » et « sécurité de l'information ». L'absence d'un appareil terminologique unifié conduit à de nombreux problèmes, conflits et, finalement, à une protection juridique insuffisante des individus dans le domaine de l'information.

Les approches existantes de l'interprétation de la sécurité de l'information au sens étroit sont incorrectes et ne respectent pas les principes et droits fondamentaux du droit de l'information. En particulier, assimiler l'institution de la sécurité de l'information à la mise en œuvre de mesures visant à protéger l'information, à renforcer la souveraineté nationale dans le domaine de l'information ou à garantir le fonctionnement des systèmes d'information et de télécommunication semble trop restrictif et crée des obstacles au développement ultérieur de toutes les composantes de l'information. sécurité.

Il est nécessaire de créer un appareil terminologique développé dans le domaine de la sécurité de l'information, qui permettrait de distinguer la sécurité personnelle de la sécurité de l'information dans son ensemble, d'arrêter de confondre les termes « sécurité de l'information », « cybersécurité », etc., ainsi que de résoudre les problèmes problèmes créés lors de la traduction de termes étrangers dans des sources normatives et doctrinales russes.

Littérature

1. Diehl Éric. Dix lois pour la sécurité / Eric Diehl // Springer International Publishing Suisse. 2016. ISBN978-3-319-42641-9.

2. Lopatin V.N. Sécurité de l'information de la Russie : Man. Société. État / V.N. Lopatine. Saint-Pétersbourg, 2000. 428 p.

3. Lopatin V.N. Sécurité de l'information en Russie : résumé de l'auteur. dis. ...doc. légal Sciences / V.N. Lopatine. Saint-Pétersbourg, 2000.

4. Hongliang C. (2016). Se protéger en ligne / C. Hongliang, E. Beaudoin Christopher et H. Traci // Journalism and Mass Communication Quarterly, 93(2), 409 – 429. doi : http://dx.doi.org/10.1177/1077699016640224.

5. Alpeev A.S. Terminologie de sécurité : cybersécurité, sécurité de l'information / A.S. Alpeev // Enjeux de cybersécurité. 2014. N° 5(8).

6. Zakharov M. Yu. La sécurité de l'information est un élément fondamental de la sécurité de la gestion sociale / M.Yu. Zakharov // Bulletin de l'Université (Université d'État de gestion). 2012. N 9-1. pages 112 à 115.

7. Kulikova E.A. La sécurité de l'information comme garantie de la sécurité nationale / E.A. Kulikova // Recueils de conférences du Centre de Recherche Scientifique "Sociosphère". 2015. N 58. pp. 76 – 79.

8. Lyz N.A. Sécurité informationnelle et psychologique dans les systèmes de sécurité humaine et de sécurité informationnelle de l'État / N.A. Lyz, G.E. Veselov, A.E. Lyz // Actualités de l'Université fédérale du Sud. Sciences techniques. 2014. N° 8(157). p. 58 à 66.

9. Lopatin V.N. Concept pour l'élaboration de la législation dans le domaine de la sécurité de l'information / V.N. Lopatine. M. : Publication de la Douma d'État de la Fédération de Russie, 1998. 159 p.

Arrêté du gouvernement de la Fédération de Russie du 4 juillet 2017 N 1424-r « Sur la signature d'un accord entre le gouvernement de la Fédération de Russie et le gouvernement de la République d'Afrique du Sud sur la coopération dans le domaine de la garantie de la sécurité internationale de l'information » // Portail Internet officiel d'informations juridiques (www.pravo.gov.ru), 06/07/2017 (N 0001201707060020) ; Arrêté du gouvernement de la Fédération de Russie du 15 novembre 2013 N 2120-r « Sur la signature d'un accord de coopération entre les États membres de la Communauté des États indépendants dans le domaine de la sécurité de l'information » // Recueil de la législation de la Fédération de Russie Fédération. 2013. N 47. Art. 6135 ; Arrêté du gouvernement de la Fédération de Russie du 13 mai 2010 N 721-r « Sur la signature d'un accord entre le gouvernement de la Fédération de Russie et le gouvernement de la République fédérative du Brésil sur la coopération dans le domaine de la garantie de l'information internationale et sécurité des communications » // Recueil de la législation de la Fédération de Russie. 2010. N 21. Art. 2628.

Décret du Président de la Fédération de Russie du 22 mai 2015 N 260 « Sur certaines questions de sécurité de l'information de la Fédération de Russie » // Recueil de la législation de la Fédération de Russie. 2015. N 21. Art. 3092 ; Décret du Président de la Fédération de Russie du 17 mars 2008 N 351 « Sur les mesures visant à assurer la sécurité de l'information de la Fédération de Russie lors de l'utilisation des réseaux d'information et de télécommunication pour l'échange international d'informations » // Recueil de la législation de la Fédération de Russie. 2008. N 12. Art. 1110.

Décret du gouvernement de la Fédération de Russie du 15 avril 2014 N 313 "Sur l'approbation du programme d'État de la Fédération de Russie "Société de l'information (2011-2020)" // Recueil de la législation de la Fédération de Russie. 2014. N 18 ( partie II).Article 2159.

Arrêté du gouvernement de la Fédération de Russie du 12 novembre 2010 N 1976-r « Sur la signature de l'accord visant à garantir la sécurité de l'information dans le cadre des processus douaniers généraux dans les États membres de la Communauté économique eurasienne » // Recueil de la législation de La fédération Russe. 2010. N 47. Art. 6182.