Файл: Российское законодательство по информационной безопасности и безопасности сетей.pdf

ВВЕДЕНИЕ

В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики. Специалисты осознают и отдают себе отчет в сложности проблемы защиты информации.

Российское законодательство в области информационной безопасности

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обяза­ны обеспечить каждому возможность ознакомления с документами и ма­териалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

---

Статья 41 гарантирует право на знание фактов и обстоятельств, со­здающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средст­вами бумажных технологий, но в современных условиях наиболее прак­тичным и удобным для граждан является создание соответствующими за­конодательными, исполнительными и судебными органами информаци­онных серверов и поддержание доступности и целостности представлен­ных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тай­ну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, переда­вать, производить и распространять информацию любым законным спосо­бом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по ком­пьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие поня­тия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в слу­чае, когда информация имеет действительную или потенциальную ком­мерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и за­конных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности явля­ется Уголовный кодекс Российской Федерации.

Глава 28 — «Преступления в сфере компьютерной информа­ции» — содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информа­ции;

• статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ;

• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вто­рая - с вредоносным ПО, третья - с нарушениями доступности и целост­ности, повлекшими за собой уничтожение, блокирование или модифика­цию охраняемой законом информации ЭВМ. Включение в сферу дейст­вия УК РФ вопросов доступности информационных сервисов представ­ляется нам очень своевременным.

---

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, те­лефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государст­венной тайне. В нем гостайна определена как защищаемые государством сведения в об­ласти его военной, внешнеполитической, экономической, разведыва­тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Россий­ской Федерации. Там же дается определение средств зашиты информа­ции. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализо­ваны, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон «Об информации, информатизации и защите информации»

Основополагающим среди российских законов, посвященных во­просам информационной безопасности, следует считать закон «Об ин­формации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ. В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

• информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

• документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позво­ляющими ее идентифицировать;

• информационные процессы - процессы сбора, обработки, на­копления, хранения, поиска и распространения информации;

• информационная система — организационно упорядоченная сово­купность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислитель­ной техники и связи, реализующих информационные процессы;

• информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в ин­формационных системах (библиотеках, архивах, фондах, бан­ках данных, других информационных системах);

---

• информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позво­ляющие идентифицировать его личность;

• конфиденциальная информация — документированная информа­ция, доступ к которой ограничивается в соответствии с законо­дательством Российской Федерации;

• пользователь (потребитель) информации — субъект, обращаю­щийся к информационной системе или посреднику за получе­нием необходимой ему информации и пользующийся ею.

Закон выделяет следующие цели защиты информации:

• предотвращение утечки, хищения, утраты, искажения, поддел­ки информации;

• предотвращение угроз безопасности личности, общества, госу­дарства;

• предотвращение несанкционированных действий по уничто­жению, модификации, искажению, копированию, блокирова­нию информации;

• предотвращение других форм незаконного вмешательства в ин­формационные ресурсы и информационные системы, обеспе­чение правового режима документированной информации как объекта собственности;

• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имею­щихся в информационных системах;

• сохранение государственной тайны, конфиденциальности доку­ментированной информации в соответствии с законодательством;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Стоит отметить, что Закон на первое место ставит сохранение конфиден­циальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности предотвращение несанк­ционированных действий по блокированию информации» сказано до­вольно мало.

Продолжим цитирование:

«Защите подлежит любая документированная информация, непра­вомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных от­ношений.

Далее. «Режим защиты информации устанавливается:

• в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

• в отношении конфиденциальной документированной инфор­мации — собственником информационных ресурсов или упол­номоченным лицом на основании настоящего Федерального закона;

---

• в отношении персональных данных — федеральным законом.

Здесь явно выделены три вида защищаемой информации, ко второ­му из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Защиту государственной тайны и персональ­ных данных берет на себя государство; за другую конфиденциальную ин­формацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предла­гает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, под­лежат сертификации в порядке, установленном Законом Россий­ской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Рос­сийской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организа­ций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подле­жат обязательной сертификации. Порядок сертификации определя­ется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, произ­водства средств зашиты информации и обработки персональных дан­ных, получают лицензии на этот вид деятельности. Порядок лицензи­рования определяется законодательством Российской Федерации.

4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной систе­мы сертификации.

И еще несколько пунктов, теперь из статьи 22:

2. Владелец документов, массива документов, информационных сис­тем обеспечивает уровень защиты информации в соответствии с за­конодательством Российской Федерации.

3. Риск, связанный с использованием сертифицированных инфор­мационных систем и средств их обеспечения, лежит на собственни­ке (владельце) этих систем и средств. Риск, связанный с использова­нием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие серти­фикацию средств защиты информационных систем и информаци­онных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

---