Правовое обеспечение безопасности информации

Система информационной безопасности

В политике безопасности информационных систем нет мелочей, так как ни одна система не является абсолютно безопасной.

С учетом накопленного опыта можно определить систему информационной безопасности (СИБ) как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Защита информации должна быть:

1. Непрерывной. Непрерывность защиты информации обусловлена непрекращающимися попытками преступников получить необходимые сведения.

2. Плановой. Планирование осуществляется разработкой детальных планов защиты информации с учетом общей цели органа внутренних дел.

3. Централизованной. В рамках определенной структуры должна обеспечиваться организационно-функциональная самостоятельность процесса обеспечения безопасности.

4. Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране и которые могут причинить определенный ущерб в случае овладения ими преступниками.

5. Активной. Защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности.

6. Надежной. Методы и средства защиты должны надежно перекрывать возможные каналы утечки информации и противодействовать способам несанкционированного доступа, независимо от формы представления информации, языка ее выражения и вида носителя.

7. Целенаправленной. В интересах конкретной цели защите подлежит определенная информация.

8. Универсальной. Независимо от характера, вида и формы информации, канал утечки необходимо перекрывать приемлемыми и достаточными средствами.

9. Комплексной. Для защиты информации должны применяться все виды и формы обеспечения безопасности в полном объеме.

Основными направлениями обеспечения безопасности ИС как нормативно-правовыми категориями, определяющими комплексные меры безопасности, выступают правовое, организационное и инженерно-техническое обеспечение.

Правовые или законодательные основы обеспечения безопасности ИС составляют Конституция РФ, законы РФ, кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.

Правовое обеспечение - совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

Как известно, важнейшим гарантом прав и свобод граждан является Конституция Российской Федерации. В ней есть несколько статей, имеющих отношение к данному вопросу (ст. ст. 2, 23, 24). Положения Конституции нашли подкрепление и в других законодательных актах. Так, в Законе “Об информации, информатизации и защите информации” отмечается, что одной из приоритетных целей государственной политики в сфере информатизации является обеспечение как национальной безопасности, так и реализации прав граждан, а также развитие законодательства в сфере защиты информации.

Очевидно, что любая правовая норма, устанавливающая ограничения на какие-либо действия, должна содержать санкцию, предусматривающую юридическую ответственность за ее нарушение. В этом смысле актуальными являются ст. ст. 137 - 139 Уголовного кодекса РФ, которые предусматривают уголовную ответственность за нарушение неприкосновенности частной жизни, жилища, а также тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Правовой основой лицензирования деятельности организаций в области защиты информации можно считать Указ Президента РФ №9-92 г. “О создании Государственной технической комиссии при Президенте Российской Федерации” и последовавшее за ним Распоряжение № 829, утверждающее Положение о Гостехкомиссии России. Распоряжением было определено, что работы по защите информации от ИТР и от ее утечки по техническим каналам могут осуществляться только на основании лицензии (п. 4). Право выдавать предприятиям и организациям такие лицензии предоставлено Гостехкомиссии России.

Закон Российской Федерации № 4524-1 - 93 г. “О федеральных органах правительственной связи и информации” требует лицензирования производства и эксплуатации шифровальных средств, предоставления услуг в этой области и возлагает на органы ФАПСИ ответственность за ведение лицензионной деятельности в пределах своей компетенции и сертификацию продукции (ст. 11.К).

Совместным решением Гостехкомиссии России и ФАПСИ № 10 от 27 апреля 1994 года введено в действие “Положение о государственном лицензировании деятельности в области защиты информации”, которое определяет границы компетенции этих органов в вопросах выдачи лицензий на определенные виды деятельности и собственно порядок их получения.

Статья 27 Закона РФ “О Государственной тайне” предписывает осуществлять допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, путем получения ими лицензий на проведение этих работ. Сами же средства защиты должны иметь сертификат, удостоверяющий, что они соответствуют предъявляемым требованиям (ст. 28).

Одним из негативных социальных явлений, сопровождающих внедрение новых информационных технологий в деятельность различных предприятий, учреждений и организаций является компьютерная преступность. Под компьютерным преступлением следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или воздействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного ее собственником или государством порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается или уничтожается, или повлекло иные тяжкие последствия.

В направлении организации борьбы с компьютерной преступностью в Российской Федерации уже сделаны первые шаги. ГТК РФ разработана “Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации” - решение Председателя ГТК РФ от 30.03.92 г. В Уголовном кодексе, принятом Государственной Думой, содержится специальная глава 28 “Преступления в сфере компьютерной информации”, содержащая три статьи, предусматривающие уголовную ответственность за следующие преступления:

- неправомерный доступ к компьютерной информации (ст. 272);

-создание, использование и распространение вредоносных программ для ЭВМ (ст. 273);

- нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Рассмотренные документы, касающиеся правового регулирования вопросов лицензирования деятельности предприятий по оказанию услуг в области защиты информации и сертификации продукции по требованиям безопасности информации, обеспечивают правовую основу предотвращения возможной утечки информации посредством использования технических средств разведки. Но, необходимо отметить, что люди в ряду источников конфиденциальной информации занимают особое место, так как способны выступать не только обладателями конфиденциальной информации, но и субъектами злонамеренных действий. Перекрытие данного канала утечки информации представляет собой очень непростую задачу, которая имеет два аспекта:

- построение эффективной системы управления доступом в помещение;

- предотвращение возможной утечки конфиденциальной информации и определение круга лиц, через которых эта утечка происходит.

Правовой основой проведения сыскных, охранных и охранно-сыскных мероприятий и использования технических средств, которые применяются в системах управления доступом в помещение, являются законы "Об оперативно-розыскной деятельности" и "О частной детективной и охранной деятельности". В данных законах определенперечень мероприятий, проведение которых разрешено соответствующим государственным и частным структурам.

Дата добавления: 2014-12-27; Просмотров: 907; Нарушение авторских прав?; Мы поможем в написании вашей работы!