Файл: 9_ua_1_.doc

В справі забезпечення інформаційної безпеки успіх може принести тільки комплексний підхід. Ми вже указували, що для захисту інтересів суб’єктів інформаційних відносин необхідно поєднувати заходи наступних рівнів:

законодавчого;
адміністративного (накази і інші дії керівництва організацій, пов’язаних з інформаційними системами, що захищаються);
процедурного (заходи безпеки, орієнтовані на людей);
програмно-технічного.

Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Більшість людей не скоює протиправних дій не тому, що це технічно неможливо, а тому, що це засуджується и/или карається суспільством, тому, що так поступати не прийнято.

Ми розрізнятимемо на законодавчому рівні дві групи заходів:

заходи, направлені на створення і підтримку в суспільстві негативного (у тому числі із застосуванням покарань) відношення до порушень і порушників інформаційної безпеки (назвемо їх заходами обмежувальної спрямованості);
направляючі і координуючі заходи, сприяючі підвищенню утвореної суспільства в області інформаційної безпеки, допомагаючі в розробці і розповсюдженні засобів забезпечення інформаційної безпеки (заходи творчої спрямованості).

На практиці обидві групи заходів важливо в рівному ступені, але нам хотілося б виділити аспект усвідомленого дотримання норм і правил ІБ. Це важливо для всіх суб’єктів інформаційних відносин, оскільки розраховувати тільки на захист силами правоохоронних органів було б наївно. Необхідно це і тим, в чиї обов’язки входить карати порушників, оскільки забезпечити довідність при розслідуванні і судовому розгляді комп’ютерних злочинів без спеціальної підготовки неможливо.

Найважливіше (і, ймовірно, найважче) на законодавчому рівні - створити механізм, що дозволяє погоджувати процес розробки законів з реаліями і прогресом інформаційних технологій. Закони не можуть випереджати життя, але важливо, щоб відставання не було дуже великим, оскільки на практиці, крім інших негативних моментів, це веде до зниження інформаційної безпеки.

1 Огляд російського законодавства в області інформаційної безпеки

1.1 Правові акти загального призначення, що піднімають питання інформаційної безпеки

Основним законом Російської Федерації є Конституція, прийнята 12 грудня 1993 року.

Відповідно до статті 24 Конституції, органи державної влади і органи місцевого самоврядування, їх посадовці зобов’язані забезпечити кожному можливість ознайомлення з документами і матеріалами, що безпосередньо зачіпають його права і свободи, якщо інше не передбачене законом.

Стаття 41 гарантує право на знання фактів і обставин, що створюють загрозу для життя і здоров’я людей, стаття 42 - право на знання достовірної інформації про стан навколишнього середовища.

У принципі, право на інформацію може реалізовуватися засобами паперових технологій, але в сучасних умовах найпрактичнішим і зручним для громадян є створення відповідними законодавчими, старанними і судовими органами інформаційних серверів і підтримка доступності і цілісності представлених на них відомостей, тобто забезпечення їх (серверів) інформаційної безпеки.

Стаття 23 Конституції гарантує право на особисту і сімейну таємницю, на таємницю листування, телефонних переговорів, поштових, телеграфних і інших повідомлень, стаття 29 - право вільно шукати, одержувати, передавати, проводити і поширювати інформацію будь-яким законним способом. Сучасна інтерпретація цих положень включає забезпечення конфіденційності даних, у тому числі в процесі їх передачі по комп’ютерних мережах, а також доступ до засобів захисту інформації.

В Цивільному кодексі Російської Федерації (в своєму викладі ми спираємося на редакцію від 15 травня 2001 року) фігурують такі поняття, як банківська, комерційна і службова таємниця. Згідно статті 139, інформація складає службову або комерційну таємницю у разі, коли інформація має дійсну або потенційну комерційну цінність через невідомість її третім особам, до неї немає вільного доступу на законній підставі, і володар інформації вживає заходів до охорони її конфіденційності. Це має на увазі, як мінімум, компетентність в питаннях ІБ і наявність доступних (і законних) засобів забезпечення конфіденційності.

Вельми просунутим в плані інформаційної безпеки є Кримінальний кодекс Російської Федерації (редакція від 14 березня 2002 року). Розділ 28 - "Злочини у сфері комп’ютерної інформації" - містить три статті:

стаття 272. неправомірний доступ до комп’ютерної інформації;
стаття 273. Створення, використовування і розповсюдження шкідливих програм для ЕОМ;
стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі.

Перша має справу з посяганнями на конфіденційність, друга - з шкідливим ПО, третя - з порушеннями доступності і цілісності, що призвели за собою знищення, блокування або модифікацію інформації ЕОМ, що охороняється законом. Включення в сферу дії УК РФ питань доступності інформаційних сервісів представляється нам дуже своєчасним.

Стаття 138 УК РФ, захищаючи конфіденційність персональних даних, передбачає покарання за порушення таємниці листування, телефонних переговорів, поштових, телеграфних або інших повідомлень. Аналогічну роль для банківської і комерційної таємниці грає стаття 183 УК РФ.

Інтереси держави в плані забезпечення конфіденційності інформації знайшли якнайповніший вираз в Законі "Про державну таємницю" (із змінами і доповненнями від 6 жовтня 1997 року). В ньому гостайна визначена як відомості в області його військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної і оперативно-розшукової діяльності, розповсюдження яких може нанести збиток безпеки Російської Федерації, що захищаються державою. Там же дається визначення засобів захисту інформації. Згідно даному Закону, це технічні, криптографічні, програмні і інші засоби, призначені для захисту відомостей, що становлять державну таємницю; засоби, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації. Підкреслимо важливість останньої частини визначення.

1.2 Закон "Про інформацію, інформатизацію і захист інформації"

Основоположним серед російських законів, присвячених питанням інформаційної безпеки, слід рахувати закон "Про інформацію, інформатизації і захисту інформації" від 20 лютого 1995 року номер 24-ФЗ (прийнятий Державною Думою 25 січня 1995 року). В ньому даються основні визначення і намічаються напрями розвитку законодавства в даній області.

Процитуємо деякі з цих визначень:

інформація - відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх уявлення;
документована інформація (документ) - зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати;
інформаційні процеси - процеси збору, обробки, накопичення, зберігання, пошуку і розповсюдження інформації;
інформаційна система - організаційно впорядкована сукупність документів (масивів документів) і інформаційних технологій, у тому числі з використанням засобів обчислювальної техніки і зв’язку, що реалізовує інформаційні процеси;
інформаційні ресурси - окремі документи і окремі масиви документів, документи і масиви документів в інформаційних системах (бібліотеках, архівах, фундаціях, банках даних, інших інформаційних системах);
інформація про громадян (персональні дані) - відомості про факти, події і обставини життя громадянина, дозволяючі ідентифікувати його особу;
конфіденційна інформація - документована інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації;
користувач (споживач) інформації - суб’єкт, що звертається до інформаційної системи або посередника за отриманням необхідної йому інформації і що користується нею.

Ми, зрозуміло, не обговорюватимемо якість даних в Законі визначень. Звернемо лише увагу на гнучкість визначення конфіденційної інформації, яка не зводиться до відомостей, що становлять державну таємницю, а також на поняття персональних даних, що закладає основу захисту останніх.

Закон виділяє наступні цілі захисту інформації:

запобігання витоку, розкрадання, втрати, спотворення, підробки інформації;
запобігання загроз безпеки особи, суспільства, держави;
запобігання несанкціонованих дій по знищенню, модифікації, спотворенню, копіюванню, блокуванню інформації;
запобігання інших форм незаконного втручання в інформаційні ресурси і інформаційні системи, забезпечення правового режиму документованої інформації як об’єкту власності;
захист конституційних прав громадян на збереження особистої таємниці і конфіденційності персональних даних, що є в інформаційних системах;
збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства;
забезпечення прав суб’єктів в інформаційних процесах і при розробці, виробництві і вживанні інформаційних систем, технологій і засобів їх забезпечення.

Відзначимо, що Закон на перше місце ставить збереження конфіденційності інформації. Цілісність представлена також достатньо повно, хоча і на другому місці. Про доступність ("запобігання несанкціонованих дій по ... блокуванню інформації") сказано досить мало.

Продовжимо цитування:

"захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати збитку її власнику, власнику, користувачу і іншій особі".

По суті, це положення констатує, що захист інформації направлений на забезпечення інтересів суб’єктів інформаційних відносин.

Далі. "режим захисту інформації встановлюється:

відносно відомостей, віднесених до державної таємниці, - уповноваженими органами на підставі Закону Російської Федерації "Про державну таємницю";
відносно конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі справжнього Федерального закону;
відносно персональних даних - федеральним законом."

Тут явно виділено три види інформації, що захищається, до другого з яких належить, зокрема, комерційна інформація. Оскільки захисту підлягає тільки документована інформація, необхідною умовою є фіксація комерційної інформації на матеріальному носії і постачання її реквізитами. Відзначимо, що в даному місці Закону йдеться тільки про конфіденційність; решта аспектів ІБ забута.

Звернемо увагу, що захист державної таємниці і персональних даних бере на себе держава; за іншу конфіденційну інформацію відповідають її власники.

Як же захищати інформацію? Як основне закон пропонує для цієї мети могутні універсальні засоби: ліцензування і сертифікацію. Процитуємо статтю 19.

Інформаційні системи, бази і банки даних, призначені для інформаційного обслуговування громадян і організацій, підлягають сертифікації в порядку, встановленому Законом Російської Федерації "Про сертифікацію продукції і послуг".
Інформаційні системи органів державної влади Російської Федерації і органів державної влади суб’єктів Російської Федерації, інших державних органів, організацій, які обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих систем підлягають обов’язковій сертифікації. Порядок сертифікації визначається законодавством Російської Федерації.
Організації, що виконують роботи в області проектування, виробництва засобів захисту інформації і обробки персональних даних, одержують ліцензії на цей вид діяльності. Порядок ліцензування визначається законодавством Російської Федерації.
Інтереси споживача інформації при використовуванні імпортної продукції в інформаційних системах захищаються митними органами Російської Федерації на основі міжнародної системи сертифікації.

Смотрите также файлы

Министерство транспорта Российской Федерации Федеральное агентство российские железные дороги.docx

Вопросы к экзамену по дисциплине правоохранительные органы рф.pdf

Практикум. Задание 1 " Рисунок несуществующего животного".docx

Удмуртская Республика входит в состав Приволжского федерального округа, граничит с 4 регионами Российской Федерации.docx

Конституция как основной закон Российской Федерации.rtf

Файл: 9_ua_1_.doc

Інформаційна безпека Законодавчий рівень інформаційної безпеки План

1 Огляд російського законодавства в області інформаційної безпеки

1.1 Правові акти загального призначення, що піднімають питання інформаційної безпеки

1.2 Закон "Про інформацію, інформатизацію і захист інформації"

Смотрите также файлы

Информация

Списки файлов

Дополнительно