В области безопасности информации

Правовое регулирование

Направления деятельности государства в области защиты информации

Комплексная система защиты информации создается на объектах для блокирования (парирования) всех возможных или, по крайней мере, наиболее вероятных угроз безопасности информации. Для парирования той или иной угрозы используется определенная совокупность методов и средств защиты. Некоторые из них защищают информацию от нескольких угроз одновременно. Среди методов защиты имеются и универсальные методы, которые являются базовыми при построении любой системы защиты. Это, прежде всего, правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения. Организационные методы защиты информации, как правило, используются для парирования нескольких угроз. Кроме того, организационные методы используются в любой системе защиты без исключений.

Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:

· выработать государственную политику безопасности в области информационных технологий;

· законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т. д.;

· создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;

· создать систему стандартизации, лицензирования и сертификации в области защиты информации;

· обеспечить приоритетное развитие отечественных защищенных информационных технологий;

· повышать уровень образования граждан в области информационных технологий, воспитывать у них патриотизм и бдительность;

· установить ответственность граждан за нарушения законодательства в области информационных технологий.

Законодательная база информатизации общества

Высокие темпы информатизации, а также социально-экономические изменения в обществе, происшедшие в последние годы, требовали законодательного регулирования отношений, складывающихся в области информационных технологий. Эта проблема во многом была решена принятием Государственной Думой РФ 25 января Федерального закона «Об информации, информатизации и защите информации». В законе даны определения основных терминов: информация; информатизация; информационные системы; информационные ресурсы; конфиденциальная информация; собственник и владелец информационных ресурсов; пользователь информации. Государство гарантирует права владельца информации, независимо от форм собственности, распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресурсы, режим доступа к ним. В законе определены права и обязанности граждан и государства по доступу к информации. В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности в сфере информационных технологий. В этом законе определены цели и режимы защиты информации, а также порядок защиты прав субъектов в сфере информационных процессов и информатизации.

Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является Закон Российской Федерации
«О государственной тайне». Он принят Постановлением Верховного Совета Российской Федерации от 21.07.1993 года. Закон определяет уровни секретности государственной информации (грифы секретности) и соответствующую степень важности информации. Руководствуясь данным законом и «Перечнем сведений, отнесенных к государственной тайне», введенным в действие Указом Президента РФ от 30 ноября 1995 года, соответствующие государственные служащие устанавливают гриф секретности информации. Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации от 23.09.1992 года
«О правовой охране программ для электронных вычислительных машин и баз данных» и Законом Российской Федерации от 09.07.1993 года «Об авторском праве и смежных правах».

На основании приведенных правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты информации в подведомственных организациях.

Российским уголовным и административным законодательством предусмотрена ответственность за совершение преступлений и правонарушений при работе с информацией, выраженной документально (бланк и пр.). Достаточно детально разработан вопрос установления ответственности за разглашение сведений, составляющих государственную и военную тайну.

Существующее законодательство позволяет классифицировать и установить ответственность за различные формы преступлений и правонарушений, связанных с информацией, представленной ввиде сведений или документов.

Всего в УК РФ в настоящее время содержится 22 нормы, предусматривающие ответственность за перечисленные преступления. Рядом статей АК РФ также устанавливается административная ответственность за правонарушения, не представляющие собой большой общественной опасности.

Очевидно, что правоохранительное законодательство в области информационной безопасности должно максимально базироваться на существующих нормах уголовного и административного права. Однако в законодательстве до настоящего времени не нашли отражения две обширные темы, непосредственно связанные с обработкой информации и обеспечением прав личности.

Во-первых, не установлена ответственность за нарушение прав личности путем незаконного сбора персональных данных, их обработки, разглашения и отказа источнику в доступе к ним.

Во-вторых, отсутствуют разделы, устанавливающие ответственность субъектов отношений, возникающих на основе использования новых информационных технологий.

В то же время обработка информации с использованием новых информационных технологий имеет ряд существенных особенностей. К ним относятся:

· существование информации и программ в виде нематериальной «электронной копии»;

· возможность неограниченного, скрытого и бесследного доступа посторонних лиц к «электронной копии» информации и программ с целью их хищения (копирования), модификации или уничтожения;

· возможность введения в ЭВМ не оговоренных технологией программных средств, в том числе и вирусного характера, что само по себе представляет серьезную угрозу.

Как утверждают специалисты, для решения задачи установления ответственности за злоупотребления с использованием компьютерной техники целесообразно:

1. Распространить на информацию и программы для ЭВМ, представленные в форме «Электронной копии», свойства объекта имущественного права, т.е., признать их объектом права собственности и товарным продуктом.

2. Установить правовой режим информации, предусматривающий ееобязательное документирование (как механизм признания информации объектом права собственности).

3. Признать противоправными умышленные деяния, подпадающие под категории «нарушение норм защиты», «хищение» (копирование), «несанкционированный доступ» и «разработка», а также – «распространение компьютерных вирусов» вне зависимости от последствий, к которым они привели.

4. Установить ответственность администрации за непринятие мер безопасности, приведшее к совершению компьютерных преступлений.

Важной составляющей правового регулирования в области информационных технологий является установление ответственности граждан за противоправные действия при работе с ИС. Преступления, совершенные с использованием ИС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В нашей стране 1 января 1997 года введен в действие новый Уголовный кодекс Российской Федерации. В него впервые включена глава № 28, в которой определена уголовная ответственность за преступления в области компьютерных технологий.

В статье 272 предусмотрены наказания за неправомерный доступ к компьютерной информации. За данное деяние предусмотрены наказания, лежащие в диапазоне от денежного штрафа в размере 200 минимальных зарплат до лишения свободы на срок до 5 лет. Отягощающими вину обстоятельствами являются совершение преступления группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ. По этой статье предусмотрено наказание от штрафа в размере заработной платы или иного дохода осужденного за два месяца до лишения свободы на срок до семи лет (в зависимости от последствий).

В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, если это деяние причинило существенные вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными работами на срок от ста восьмидесяти до двухсот часов. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до 4 лет.

Общая характеристика организационных методов защиты информации в информационных системах

Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.

Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации ИС для обеспечения заданного уровня безопасности информации.

Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:

· организация работ по разработке системы защиты информации;

· ограничение доступа на объект и к ресурсам КС;

· разграничение доступа к ресурсам КС;

· планирование мероприятий;

· разработка документации;

· воспитание и обучение обслуживающего персонала и пользователей;

· сертификация средств защиты информации;

· лицензирование деятельности по защите информации;

· аттестация объектов защиты;

· совершенствование системы защиты информации;

· оценка эффективности функционирования системы защиты информации;

· контроль выполнения установленных правил работы в КС.

Организационные методы являются стержнем комплексной системы защиты информации в ИС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты информации.

Опыт законодательного регулирования проблем

защиты информации в других странах

Особенностью западного компьютерного права является то, что, оно формируется, как правило, по прецеденту и представляет собой, в основном, законодательные акты прямого действия, принимаемые на государственном (Великобритания, Франция, Германия) или федеративном и региональном уровнях (США).

Ответственность за правонарушения при работе с информацией, компьютерами и компьютерной информацией устанавливается

В США:

· Законом о безопасности компьютерных систем 1987 года;

· Актом о злоупотреблениях с использованиемЭВМ 1986 года;

· Законопроектом об искоренении компьютерного вируса 1988 года;

· Законом о свободе информации;

· Законом о соблюдении тайн 1974 года;

· Законом о справедливых кредитах;

· Законом о защите вычислительных средств небольших фирм и образовании 1984 года

В Канаде:

Законом о компьютерных и информационных преступлениях («Билл» С-18) 1985 года.

Во Франции:

Законом об информатике, картотеках и свободах 1978 года.

В Великобритании:

Законом о защите информации 1984 года.

В ФРГ:

· Законом о дальнейшем развитии электронной обработки и о защите данных 1990 года;

· Законом о хозяйственной преступности 1986 года;

· Германским Уголовным кодексом 1986 года;

· Германским Гражданским кодексом;

· Законом об авторском праве;

· Федеральным законом о защите данных 1978 года.

Федеральный закон ФРГ об охране данных обязывает учреждения и организации принимать необходимые технические и организационные меры по обеспечению сохранности указанных в законе данных. Действие закона не распространяется на широко известные или передаваемые устно сведения о том или ином лице, а также данные, хранящиеся в специальных актах и делах, доступ к которым строго ограничен.

Не подлежат охране данные, собираемые и обрабатываемые в целях их последующей публикации, показа или огласки средствами кино, радио и прессы. Порядок обращения с информацией в данной области регламентируется специальными законами.

В соответствии с законом об охране данных, объектом охраны являются содержащиеся в картотеках и памяти ЭВМ сведения, затрагивающие личные интересы граждан, и, будучи введенными в ЭВМ, легко могут быть доступны третьим лицам. Национальный совет Австрии принял закон о неразглашении персональных данных. В нем указывается, что каждый гражданин имеет право требовать сохранения в тайне касающихся его личности данных. Если эти данные обрабатываются с помощью автоматизированных средств, он имеет право на исправление неточностей и на изъятие данных, собранных и обработанных недоступными методами. Разглашение тайны относительно хранящихся персональных данных и неправомочное вмешательство в их обработку может повлечь за собой наказание с лишением свободы сроком до одного года.

При всем различии национальных законодательств в них имеется ряд общих моментов.

1. Практически во всех странах законодательно установлена ответственность занарушение порядка обработки и использования персональных данных.

2. Информационные (компьютерные) преступления расцениваются как представляющие особую опасность для граждан, государства и общества в целом; характеризуются значительно более жесткими мерами наказания, чем аналогичные преступления, совершенные без использования компьютерной техники.

3. Квалифицируются как преступления также действия, создающие только предпосылки к нанесению ущерба, например попытка проникновения в систему, внедрение программы- вируса и т.д.

Контрольные вопросы к лекции 17

1. Назовите основные направления обеспечения безопасности информационных систем.

2. Какую информационную систему называют защищенной?

3. Какие мероприятия по защите информации Вы знаете?

4. Назовите особенность западного права по защите информации?

Литература

1. Антонов А. К. Информатика. Курс лекций по дисциплине «Информатика» для студентов, обучающихся по специальностям 0611.00 «Менеджмент организации», 0608.00 «Экономика и управление», 0608.17 «Экономика и управление туризмом и гостиничным хозяйством» ИТ и Г 2006.

2. Антонов А. К., Артюшенко В. М. Защита информации. Методы защиты информации. Курс лекций по дисциплине «Защита информации и информационная безопасность» для студентов, обучающихся по специальности 071901 «Информационные системы в сфере сервиса»

2. Домарев В. В. Защита информации и безопасность компьютерных систем. – К.: Издательство «Диа – Софт», 1999. – 480 с.

3. Федеральный закон от 20 февраля 1995 года № 24-Ф3
«Об информации, информатизации и защите информации»

4. Соколов А. В., Степанов О.М. Защита от компьютерного терроризма. Справочное пособие – СПб.: БХВ-Петербург; Арлит 2002. – 496 с.: ил

6. Джерри Ли Форд. Персональная защита от хакеров. Руководство для начинающих. Пер. с англ. – М.: КУДИЦ-ОБРАЗ, 2002, 272

Дата добавления: 2014-01-06; Просмотров: 902; Нарушение авторских прав?; Мы поможем в написании вашей работы!