Реферат: Проблемы информационной безопасности. Российское законодательство в области информационной безопасности Проблема информационной безопасности в российском законодательстве

Правовые проблемы обеспечения информационной безопасности

Проблема обеспечения информационной безопасности является на сегодня одной из самых острых не только у нас в стране, но и в развитых странах мира. Опыт эксплуатации информационных систем и ресурсов в различных сферах жизнедеятельности показывает, что существуют различные и весьма реальные угрозы потери информации, приводящие к материальным и иным ущербам. При этом обеспечить на 100% безопасность информации практически невозможно.

Интерес к проблемам информационной безопасности определяется все возрастающей ролью информации в различных сферах жизни общества (например, экономической, политической сферах).

Проблема обеспечения информационной безопасности является одной из актуальных проблем, которая стоит перед мировым сообществом. Значительными событиями в сфере обеспечения информационной безопасности и борьбы с компьютерными преступлениями стали Международные конференции представителей государственных и коммерческих структур стран «восьмерки» по вопросам безопасности и доверия в киберпространстве, которые состоялись в 2000 году в Париже и в Берлине. На этих конференциях рассматривались такие важные вопросы: защита электронной торговли, критической инфраструктуры и повышение доверия в киберпространстве путем оценки угроз и предотвращения преступлений; улучшение способности обнаружения и идентификации преступников, использующих информационные технологии; совершенствование партнерских отношений между государственными структурами, частным сектором, пользователями в целях обеспечения безопасности и доверия в киберпространстве; а также подписание главами «восьмерки» 22 июля 2000 года Окинавской Хартии глобального информационного общества, в которой ведущие страны в очередной раз подчеркнули важность принятия всех необходимых мер, направленных на создание безопасного и свободного от преступности мирового киберпространства. Отмечена необходимость поиска эффективных политических решений таких актуальных проблем, как, например, несанкционированного доступа и компьютерных вирусов.

В соответствии с указанным документом, информационная и коммуникационная технология является одной из наиболее влиятельных и могущественных сил, которые обозначают контуры ХХІ столетия. Ее революционное влияние касается быта, образования, работы, а также способов взаимосвязи советов и гражданского общества. Как ускоритель экономического роста, данная технология обладает большим потенциалом различных социальных преобразований.

В связи с этим, в некоторых европейских государствах появилось законодательное закрепление понятия «информационная безопасность». Так в законодательстве Российской Федерации есть конкретное определение данного понятия, а именно: «под информационной безопасностью Российской Федерации понимается состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства» .

На законодательном же уровне Украины понятие «информационной безопасности» отсутствует.

Так что же такое «информационная безопасность»? Рассмотрим содержание понятия «безопасность» как таковое.

На протяжении всей истории мировой цивилизации безопасность является одной из главнейших целей и неотъемлемым слагаемым деятельности людей, социальных групп, обществ, государств и мирового сообщества. Забота о безопасности имманентно присуща каждой частице социальной структуры общества от конкретного индивида до предельно широкого объединения людей.

Термин «безопасность» означает отсутствие опасности, сохранность, надежность или положение, при котором не угрожает опасность кому-, чему-нибудь . Вопросы охраны безопасности рассматриваются и на законодательном уровне, а именно: Законы Украины «Об объектах повышенной опасности», «Об использовании ядерной энергии радиационную безопасность», «О дорожном движении», «О пожарной безопасности».

Итак, можно сделать вывод, что безопасность – это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Информация является основным объектом информационного общества и ее роль на сегодняшний день очень велика. Термин «информация» произошел от латинского слова «informatio», что означает пояснение, сообщение. Информация состоит из сообщений. Сообщение является формой представления информации.

Согласно статьи 1 закона Украины «Об информации», под информацией следует понимать документированные или публично оглашенные сведения о событиях или явлениях, которые происходят в обществе, государстве или окружающей природной среде .

Важной особенностью информации является возможность ее практически неограниченного тиражирования, распространения и преобразования форм ее фиксации .

Отсюда следует, что информационная безопасность – это состояние защищенности личности, общества, государства в информационной сфере от внутренних (источниками являются: неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур; получения криминальными структурами доступа к конфиденциальной информации; усиления влияния организованной преступности на жизнь общества; снижения степени защищенности законных интересов граждан, общества и государства; недостаточное финансирование мероприятий по обеспечению информационной безопасности; недостаточная экономическая мощь государства; критическое состояние отечественных отраслей промышленности) и внешних (деятельность иностранных разведывательных и информационных структур, направленная против интересов государства; обострение международной конкуренции за обладание информационными технологиями и ресурсами) угроз. Отметим, что информационная сфера – это сфера деятельности, которая связана с созданием, распространением, переработкой и потреблением информации .

Источники информационных опасностей подразделяются на естественные (природного происхождения) и искусственные (созданные человеком в процессе его жизнедеятельности).

Наиболее очевидными источниками информационной безопасности являются:
1) отсутствие единой государственной политики в области обеспечения информационной безопасности;
2) несовершенство нормативной правовой базы, регулирующие отношения в области обеспечения информационной безопасности, а также недостаточная правоприменительная практика;
3) недостаточный контроль за развитием информационного рынка со стороны государственных структур и общества;
4) низкий уровень информатизации государственных и коммерческих структур;
5) низкий уровень защищенности интересов физических и юридических лиц в информационной сфере;
6) сращивание государственных и коммерческих структур в области кредитно-финансовой сферы с криминальными структурами;
7) получение доступа криминальными структурами к конфиденциальной информации;
8) усиление влияния организованной преступности на жизнь общества;
9) контрабандный ввоз и незаконная продажа компьютерной техники и средств радиосвязи, получение неконтролируемой прибыли.

В качестве объектов, подлежащих защите от информационных угроз и опасностей, выделяют сознание, психику отдельного человека, социальных сообществ (коллектив, социальные группы, нации, народности, гражданское общество, государство); информационно-технические системы различного назначения и информационные потоки, связывающие все элементы в единую социальную или техническую систему .

Угрозами же безопасности информационных средств и систем могут являться:
- противоправный сбор и использование информации;
- разработка и распространение программ, нарушающих нормальное функционирование информационных систем, в том числе систем защиты информации;
- утечка информации по техническим каналам (визуально-оптические, акустические, электрические, радиотехнические, материально-вещественные );
- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций, независимо от формы собственности;
- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
- перехват информации в сетях передачи данных и на линиях связи;
- несанкционированный доступ к информации, находящейся в банках и базах данных (может быть целенаправленный и случайный);
- нарушение законных ограничений на распространение информации.

Центральным моментом применения информационных компьютерных технологий в Украине является наличие адекватного информационного законодательства. Под информационным законодательством следует понимать комплекс законов и нормативных актов, которые регламентируют правоотношения в области собирания, обработки, сохранения и использования информации . Однако, на сегодняшний день действующие законы Украины (например, законы Украины «Об информации», «О государственной тайне», «Об информационных агентствах», «О государственном реестре физических лиц плательщиков налогов и других обязательных платежей») и другие нормативные акты, которые непосредственно или косвенно связаны с этими вопросами, не охватывают весь комплекс проблем и не образуют целостной системы. Поэтому, реализация эффективных мер правового обеспечения информационной безопасности жизненно необходима для развития Украины, ведь информационное общество можно создать только в правовом государстве.

Одной из составных частей информационной безопасности является защита информации в компьютерных системах и сетях. На законодательном уровне Украины охрана информации в компьютерных системах и сетях не рассматривалась. И только в связи с принятием нового Уголовного кодекса Украины в 2001 году, компьютерная безопасность поставлена под охрану уголовного закона (раздел ХVІ УК «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей»). Однако само по себе законодательное закрепление данных моментов еще не способствует их пресечению. Как заметила по этому поводу А.А. Матвеева: «Уголовно-правовые нормы являются лишь законодательной базой, необходимым (в условиях правового государства), но не единственным условием. Основное значение состоит в их правильном и своевременном применении. В качестве главного принципа уголовной ответственности нужно признать ее неотвратимость. При этом, прежде чем рассматривать организационные и технические сложности, следует в первую очередь оценить, насколько совершенно (а, следовательно, действенно), существующее уголовное законодательство.

В итоге представляется необходимым дальнейшее усовершенствование правовой базы, особое место в системе которой занимает уголовное право, и практики ее применения. При этом в первую очередь необходимо достижение единства норм различных отраслей права, максимальное уменьшение их несбалансированности .

Обеспечение информационной безопасности не сводится лишь к принятию правовых мер, а включает в себя широкий спектр организационного, технического и иного характера (создание и совершенствование системы обеспечения информационной безопасности; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты). Поэтому, выполнение всего комплекса мероприятий возможно при наличии развитой законодательной базы и обеспечения их финансирования.

Литература:

1. Доктрина информационной безопасности Российской Федерации // Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. – М: Издательство «Юрлитинформ», 2001. – С.89.
2. Даль В. Толковый словарь живого великорусского языка. Т.1. – М., 1978. – С.67.
3. Ожегов С.И. Словарь русского языка. – М., 1986. – С.38.
4. Закон України “Про інформацію» від 02.10.1992 року // Відомості Верховної Ради – 1992. - N 48. - Ст. 650.
5. Гражданское право. Учебник. Под ред. Сергеева А.П., Толстого Ю.К. – М.: Проспект, 1997. – С.214-215.
6. Орлов П.І. Інформація та інформатизація: Нормативно-правове забезпечення: Науково-практичний посібник. – Харків: Видавництво Університету внутрішніх справ, 2000. – С.9.
7. Российская криминологическая энциклопедия. Под общей редакцией А.И. Долговой. – М.: Издательство НОРМА (Издательская группа НОРМА – ИНФРА-М), 2000. – С.67.
8. Методы и средства защиты информации: Методические указания. – К: КМУГА, 1997. – С.17.
9. Кисельов М. Про створення єдиної інформаційної системи органів юстиції України // Право України. – 1997. - №3. – С.53.
10. Матвеева А.А. Информационная безопасность и проблемы совершенствования уголовного законодательства // Уголовное право в ХХІ веке: Материалы Международной научной конференции на юридическом факультете МГУ им. М.В. Ломоносова 31 мая – 1 июня 2001 г. – М.: «ЛексЭст», 2002. – С.181-186.

Рассматривая вопрос о том, насколько важна для фирмы информационная безопасность и определяя бюджет на её обеспечение, необходимо четко ориентироваться в этом понятии. Только так можно наметить приоритетные направления и составить план соответствующих действий.

Информационная безопасность в сетях включает в себя широкий круг проблем. Для благополучия бизнеса информационная безопасность имеет основополагающее значение, поэтому мы рассмотрим все задачи, которые она решает, подробно.

Итак, первое направление – это обеспечение целостности данных . Сегодня вся коммерческая информация, бухгалтерские данные, финансовая отчетность, клиентские базы, договора, новаторские идеи сотрудников фирмы, планы и стратегия её развития, хранятся в локальной информационно-компьютерной сети. Далеко не всегда и не все документы дублируются на бумажных носителях, ибо объем информации очень велик. В таких условиях информационная безопасность предусматривает систему мер, которые призваны обеспечить надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Серьезный подход к данному вопросу означает, что информационная безопасность должна базироваться на профессиональном аудите всей IT - инфраструктуры фирмы. позволяет провести оценку состояния сети и оборудования, сделать анализ потенциальных угроз, выявить и вовремя устранить «слабые» места кабельной системы, серверных и рабочих станций, дисковых систем и нарушений в конфигурации оборудования. Таким образом, снижаются технические риски возможной потери информации.

К повреждению данных приводит и некорректная работа систем архивации, сетевого и прикладного ПО. Обеспечивая информационную безопасность вашей фирмы, наши сотрудники проводят тестирование программного обеспечения и проверяют его соответствие современным требованиям.

Следующая важнейшая задача - обеспечение конфиденциальности информации . Защита коммерческих секретов напрямую влияет на конкурентоспособность фирмы и её устойчивость на рынке. Здесь сталкивается с внешними и внутренними преднамеренными угрозами, направленными на хищение данных. Хакеры, промышленный шпионаж и утечка информации по вине собственных сотрудников представляют наибольшую угрозу. Соблазн продать ценную коммерческую информацию велик не только у увольняемых сотрудников, но и у тех, амбиции которых на рабочем месте неудовлетворенны. В данном случае, информационная безопасность принимает превентивные меры, направлены на контроль инсайдеров и многоступенчатую защиту серверов от хакерских атак.

Поэтому меры по противодействию несанкционированному доступу должны быть направлены на достижение двух целей:

• Cоздавать условия, когда случайные или умышленные действия, приводящие к потере данных, становятся невозможны. Информационная безопасность решает эту проблему путем создания системы аутентификации и авторизации пользователей, разделения прав доступа к информации и контроля доступа.
• Также важно создать систему, при которой сотрудники или злоумышленники не смогли бы скрыть совершенных действий. Здесь в помощь специалисту по ИБ приходит система контроля событий безопасности, аудит доступа к файлам и папкам.

Эффективными средствами защиты, как от внешних угроз, так и от внутренних, являются также: введение системы паролей пользователей, применение для особо важной информации криптографических методов защиты (шифрование), ограничение доступа в помещения, применение индивидуальных цифровых ключей и смарт-карт, использование межсетевых экранов, установка систем защиты от утечек информации через электронную почту, FTP -серверы и Интернет-мессенджеры, защита информации от копирования. При рассмотрении потенциальных угроз, мы рекомендуем своим клиентам установить контроль над исходящими информационными потоками.

В последнее время получили большое распространение такие способы взлома сетей, как распространение вредоносных компьютерных программ, выполняющих функции сбора и передачи информации (троянские программы), программ-шпионов. Для того, чтобы устранить подобные внешние риски, информационная безопасность предусматривает установку мощного антивирусного ПО и серверной защиты.

Информационная безопасность сети предполагает также защиту от атак извне, направленных на прекращение работоспособности серверов, компьютеров или компонентов сети. Речь идет о DDos -атак, попытках подбора паролей (bruteforce -атаки). Для защиты от подобных угроз информационная безопасность требует применения специального программного обеспечения – межсетевых экранов и систем проактивной защиты.

И самое главное, для чего нужна информационная безопасность – это доступность информации для легитимных пользователей . Все меры обеспечения информационной безопасности бесполезны, если они затрудняют работу легитимных пользователей или блокируют ее. Здесь на первый план выходит надежно работающая аутентификация и грамотно реализованное разделение прав пользователей.

Наша компания приложит все усилия, чтобы информационная безопасность Вашей компании была организована на уровне, делающем ее практически неуязвимой.

Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления – «информационная безопасность ». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных.

Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных.

Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п.

Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты, как от разнообразных случайностей, так и от несанкционированного доступа.

Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п.

Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.

Кроме чисто технических задач разработки средств защиты информации имеются нормативно-технические, организационно-правовые, юридические и другие аспекты. Основные задачи, рассматриваемые специалистами по информационной безопасности (а также публикации на эту тему), связаны с обеспечением безопасности использования глобальных и локальных сетей, с проблемами глобальной вычислительной сети Интернет, «хакерами», «вирусами» и т.п.

Резюмируя сказанное, можно выделить технические, организационные и правовые меры обеспечения информационной безопасности и предотвращения компьютерных преступлений.

К техническим мерам относятся:

защита от несанкционированного доступа;

резервирование особо важных компонентов подсистем;

организация вычислительных сетей с перераспределением ресурсов при временном нарушении работоспособности какой-либо части сети;

создание устройств обнаружения и тушения пожаров;

создание устройств обнаружения утечек воды;

техническая защита от хищений, саботажа, диверсий, взрывов;

дублирование электропитания;

надежные запирающие устройства;

устройства сигнализации о различных опасностях.

К организационным мерам относятся:

надежная охрана;

подбор надежного персонала;

правильная организация работы персонала;

предусмотренный план восстановления работы информационного центра вследствие одной из указанных выше причин;

организация обслуживания и контроля работы компьютерного центра лицами, не заинтересованными в сокрытии преступлений;

создание средств защиты информации от любых лиц, включая и руководящий персонал;

предусмотренные меры административной ответственности за нарушение правил работы;

правильный выбор местонахождения информационного центра с дорогостоящим техническим и программным обеспечением.

К правовым мерам относятся:

разработка уголовных норм ответственности за компьютерные преступления;

усовершенствование уголовного и гражданского законодательства;

усовершенствование судопроизводства по компьютерным преступлениям;

общественный контроль за разработчиками компьютерных систем;

принятие ряда международных соглашений, касающихся информационной безопасности.

Это очень крупная научно-техническая проблема и, естественно, мы не можем осветить ее в полной мере и коснемся только основных понятий, определений и средств защиты, доступных пользователю, причем начнем с наиболее близкой проблемы рядового пользователя – с сохранения информации, не связанного с несанкционированным доступом.

Современное состояние информационной безопасности в России

Основные термины и определения из области информационной безопасности.

Принципы построения и требования к системе информационной безопасности объекта.

Последовательность действий при разработке системы обеспечения информационной безопасности объекта.

VI . Международный стандарт "Общие критерии оценки безопасности информационных технологий"

Порядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации

Проблемы информационной безопасности и пути их решения

Ни одна сфера жизни цивилизованного государства не может эффективно функционировать без развитой информационной инфраструктуры. Безопасность информации выдвигается на первый план и становится элементом национальной безопасности. Защита информации, несомненно, должна рассматриваться как одна из приоритетных государственных задач.

Происходящие в России преобразования оказывают непосредственное влияние на ее информационную безопасность. Возникают новые факторы, которые нужно учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области.

Всю совокупность факторов можно разделить на политические, экономические и организационно-технические .

К политическим факторам следует отнести:

становление новой российской государственности на основе принципов демократии, законности, информационной открытости;

изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;

информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;

разрушение ранее существовавшей командно-административной системы государственного управления, а также сложившейся системы обеспечения безопасности страны;

нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;

стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;

низкая общая правовая и информационная культура в российском обществе.

Среди экономических факторов наиболее существенными являются:

переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;

критическое состояние отраслей промышленности, производящих средства информатизации и защиты информации;

расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России.

Из организационно-технических факторов определяющими являются:

недостаточная нормативно-правовая база информационных отношений, в том числе в области обеспечения информационной безопасности;

слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг в России;

широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;

рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;

обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.

Оценка состояния информационной безопасности и определение ключевых проблем в этой области должны базироваться на анализе источников угроз.

Источники угроз можно разделить на внешние и внутренние.

К внешним источникам относятся:

недружественная политика иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий;

деятельность иностранных разведывательных и специальных служб;

деятельность иностранных политических и экономических структур, направленная против интересов Российского государства;

преступные действия международных групп, формирований и отдельных лиц;

стихийные бедствия и катастрофы.

Внутренними источниками угроз являются:

противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации;

неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере;

нарушения установленных регламентов сбора, обработки и передачи информации;

преднамеренные действия и непреднамеренные ошибки персонала информационных систем;

отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

При этом необходимо понимать, что эти угрозы в настоящее время носят не умозрительный характер, а каждой из них соответствуют целенаправленные действия конкретных носителей враждебных намерений (начиная с иностранных разведывательных служб и кончая криминальными группировками). В результате этих действий может быть нанесен серьезный ущерб жизненно важным интересам Российской Федерации в политической, экономической, оборонной и других сферах деятельности государства либо причинен существенный социально-экономический ущерб обществу и отдельным гражданам.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

Отметим, что право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности, актуальности и целостности, представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

В сентябре 2000 года Президент Российской Федерации В.В.Путин утвердил "Доктрину информационной безопасности". Какую роль она сыграет в развитии отечественных информационных технологий и средств защиты информации?

Информационные технологии - бурно и динамично развивающаяся отрасль мирового хозяйства. Объем рынка информационной продукции составляет более 2-х триллионов долларов США, что сопоставимо с бизнесом в сферах топлива и энергетики, автомобилестроения. Серьезную опасность для России представляют стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внутреннего и внешнего рынка информационных услуг, разработка рядом государств концепций "информационных войн". Такие концепции предусматривают создание средств воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

"Доктрина информационной безопасности" закладывает основы информационной политики государства. С учетом существующих угроз для защиты национальных интересов России государство планирует активно развивать отечественную индустрию средств информации, коммуникации и связи с последующим выходом продукции на мировой рынок, обеспечивать гарантии безопасности для национальных информационных и телекоммуникационных систем и защиту государственных секретов с помощью соответствующих технических средств. Одновременно предусматривается повышать эффективность информационного обеспечения деятельности государства.

Принятие этого документа ставит в повестку дня и вопрос о необходимости совершенствования российского законодательства. К примеру, речь идет о принятии законов, касающихся пресечения компьютерной преступности.

Перечислим некоторые основополагающие законы и нормативные акты Российской Федерации в области информационной безопасности в их первой редакции:

1. Закон РФ "О государственной тайне" от 21.7.93 г. № 5485-1.

2. Закон РФ "О коммерческой тайне" (версия 28.12.94 г.).

3. Закон РФ "Об информации, информатизации и защите информации" от 25.1.95 г.

4. Закон РФ "О персональных данных" (версия 20.02.95 г.).

5. Закон РФ "О федеральных органах правительственной связи и информации" от 19.2.93 г. № 4524-1.

6. Положение о государственной системе защиты информации в Российской Федерации от ИТР и от утечки по техническим каналам. (Постановление Правительства РФ от 15.9.93 г. № 912-51).

7. Положение о Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России). Распоряжение Президента Российской Федерации от 28.12.92 г. № 829-рпс.

В настоящее время практически все эти законы и положения уточнены и дополнены соответствующими главами, параграфами и поправками, отражающими реалия текущей ситуации.

В Гражданском кодексе Российской Федерации (редакция от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, "информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности". Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

В Уголовном кодекс Российской Федерации (редакция от 14 марта 2002 года) глава 28 "Преступления в сфере компьютерной информации" содержит три соответствующие статьи:

• статья 272 "Неправомерный доступ к компьютерной информации";
• статья 273 "Создание, использование и распространение вредоносных программ для ЭВМ";
• статья 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети".

Первая из указанных статей подразумевает посягательства на конфиденциальность, вторая определяет действия с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации. В свете бурного развития локальных, региональных, национальных и всемирной сетей включение в сферу действия УК РФ вопросов доступности информационных сервисов является очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем государственная тайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

он "Об информации, информатизации и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года (принят Государственной Думой РФ 25 января 1995 года; актуальная версия закона от 21.07.2014). В нём даются основные определения и намечаются направления развития законодательства в данной области.

Приведём примеры некоторых определений:

• информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
• документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
• информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
• информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
• информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
• информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
• конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
• пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Закон выделяет следующие цели защиты информации:

• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Согласно закону "Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу". Далее, "Режим защиты информации устанавливается:

• в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
• в отношении персональных данных - Федеральным законом".

Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.

В качестве основного инструмента защиты информации закон предлагает мощные универсальные средства - лицензирование и сертификацию (статья 19):

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".
2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.
3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.
4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

Еще несколько пунктов закона (статья 22, пункты 2-5):

1. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
2. Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.
3. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты ресурсов собственника и систем и получения консультаций.
4. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем обо всех фактах нарушения режима защиты информации.

Статья 23 "Защита прав субъектов в сфере информационных процессов и информатизации" (пункты 2-4):

1. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи.
2. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
3. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и защите информации", касающиеся охраняемой информации и информационной безопасности.