Файл: Российское законодательство по информационной безопасности сетей.pdf

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 08.07.2023

Просмотров: 63

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Введение

Информационная безопасность (ИБ) является системообразующим фактором структуры национальной безопасности России. Иллюстрацией этому является рис. 1. Как видно из рисунка, сохраняя определенную самостоятельность, обусловленную спецификой содержания этой сферы деятельности, информационная безопасность естественным образом, в большей или меньшей мере, входит фактически во все компоненты национальной безопасности и является её системообразующим фактором.

Рис. 1. Роль и место информационной безопасности в обеспечении национальной безопасности России

Защита (обеспечение безопасности) информации является неотъемлемой частью общей проблемы информационной безопасности. Для осуществления защиты информации к настоящему времени в России создана и функционирует государственная система защиты информации, базирующаяся на положениях Закона “О государственной тайне”, ряде Указов Президента Российской Федерации и постановлении Правительства Российской Федерации “О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам”. Целями обеспечения информационной безопасности информационных систем (ИС) являются:

- достижение состояния защищенности жизненно важных интересов государства от различных угроз в сфере формирования, распространения и использования информационных ресурсов;

- обеспечение прав граждан на получение, использование и распространение информации; - обеспечение информированности общества, необходимой для успешного функционирования всех его структур;

- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

- обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований. Задачами обеспечения информационной безопасности в ИС являются:

- выявление и прогнозирование внутренних и внешних угроз информационной безопасности, разработка и осуществление комплекса адекватных и экономически обоснованных мер по их предупреждению и нейтрализации;

- формирование единой политики государственной власти и субъектов России по обеспечению информационной безопасности в ИС; - совершенствование и стандартизация применяемых методов и средств защиты информации в ИС;


- создание и реализация механизма государственного регулирования (лицензирования) деятельности в области защиты информации, а также обеспечение функционирования системы сертификации ИС и входящих в их состав защищенных технических средств, средств защиты информации и средств контроля эффективности принятых мер защиты.

1. Правовые акты общего назначения, затрагивающие вопросы информационной безопасности.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обяза­ны обеспечить каждому возможность ознакомления с документами и ма­териалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, со­здающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средст­вами бумажных технологий, но в современных условиях наиболее прак­тичным и удобным для граждан является создание соответствующими за­конодательными, исполнительными и судебными органами информаци­онных серверов и поддержание доступности и целостности представлен­ных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тай­ну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, переда­вать, производить и распространять информацию любым законным спосо­бом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по ком­пьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие поня­тия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в слу­чае, когда информация имеет действительную или потенциальную ком­мерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и за­конных) средств обеспечения конфиденциальности.


Весьма продвинутым в плане информационной безопасности явля­ется Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 — «Преступления в сфере компьютерной информа­ции» — содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информа­ции;

• статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ;

• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вто­рая - с вредоносным ПО, третья - с нарушениями доступности и целост­ности, повлекшими за собой уничтожение, блокирование или модифика­цию охраняемой законом информации ЭВМ. Включение в сферу дейст­вия УК РФ вопросов доступности информационных сервисов представ­ляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, те­лефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государст­венной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в об­ласти его военной, внешнеполитической, экономической, разведыва­тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Россий­ской Федерации. Там же дается определение средств зашиты информа­ции. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализо­ваны, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

2. Закон «Об информации, информатизации и защите информации»

Основополагающим среди российских законов, посвященных во­просам информационной безопасности, следует считать закон «Об ин­формации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.


Процитируем некоторые из этих определений:

• информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

• документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позво­ляющими ее идентифицировать;

• информационные процессы - процессы сбора, обработки, на­копления, хранения, поиска и распространения информации;

• информационная система — организационно упорядоченная сово­купность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислитель­ной техники и связи, реализующих информационные процессы;

• информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в ин­формационных системах (библиотеках, архивах, фондах, бан­ках данных, других информационных системах);

• информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позво­ляющие идентифицировать его личность;

• конфиденциальная информация — документированная информа­ция, доступ к которой ограничивается в соответствии с законо­дательством Российской Федерации;

• пользователь (потребитель) информации — субъект, обращаю­щийся к информационной системе или посреднику за получе­нием необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе опре­делений. Обратим лишь внимание на гибкость определения конфиденци­альной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закла­дывающее основу зашиты последних.

Закон выделяет следующие цели защиты информации:

• предотвращение утечки, хищения, утраты, искажения, поддел­ки информации;

• предотвращение угроз безопасности личности, общества, госу­дарства;

• предотвращение несанкционированных действий по уничто­жению, модификации, искажению, копированию, блокирова­нию информации;

• предотвращение других форм незаконного вмешательства в ин­формационные ресурсы и информационные системы, обеспе­чение правового режима документированной информации как объекта собственности;

• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имею­щихся в информационных системах;

• сохранение государственной тайны, конфиденциальности доку­ментированной информации в соответствии с законодательством;


• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиден­циальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности предотвращение несанк­ционированных действий по блокированию информации») сказано до­вольно мало.

Продолжим цитирование:

«Защите подлежит любая документированная информация, непра­вомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных от­ношений.

Далее. «Режим защиты информации устанавливается:

• в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

• в отношении конфиденциальной документированной инфор­мации — собственником информационных ресурсов или упол­номоченным лицом на основании настоящего Федерального закона;

• в отношении персональных данных — федеральным законом.

Здесь явно выделены три вида защищаемой информации, ко второ­му из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональ­ных данных берет на себя государство; за другую конфиденциальную ин­формацию отвечают ее собственники.

Как же защищать информацию? Закон предла­гает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, под­лежат сертификации в порядке, установленном Законом Россий­ской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Рос­сийской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организа­ций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подле­жат обязательной сертификации. Порядок сертификации определя­ется законодательством Российской Федерации.