Файл: "Роль информационного права и информационной безопасности в современном обществе".pdf

1. Какие источники информации следует защитить?
2. Какова цель получения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

1. Что является источником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

- Несанкционированный доступ – незаконное использование данных.

- Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности.

- Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на несколько подуровней, краткая характеристика которых будет приведена далее:

- физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;

- аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;

- программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;

- математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).

Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

Статья 272 «Неправомерный доступ к компьютерной информации»;

Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;

Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- -телекоммуникационных сетей».

2.4 Основные виды угроз информационной безопасности

Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами. Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.

Попытка несанкционированного доступа может происходить несколькими путями:

- через сотрудников, которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;

- с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.

- с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).

Глава 3. Информационное право и информационная безопасность в современном мире

3.1 Информационное право и информационная безопасность в сети Интернет

Рассматривая проблему безопасности информационной инфраструктуры, нельзя не отметить, что на сегодняшний день наиболее сложной является проблема правового регулирования соответствующих аспектов функционирования глобальной сети Интернет. Трудности начинаются даже при отсутствии однозначного определения сущности этого явления, что для права является критическим фактором. Ведь отсутствие четко очерченного предмета регулирования делает неэффективным или вообще делает невозможным само это регулирование. Эта неопределенность касается также технических аспектов функционирования Интернет. Право же должно рассматривать Интернет не только с технической точки зрения, но и социальной, поскольку в отношении этой сети и внутри нее возникает новый тип общественных отношений, что, возможно, должен быть урегулирован правом.

Таким образом, через целый ряд обстоятельств попытка дать формулировку, определить связи отдельных признаков сети Интернет как объекта права успеха не принесли. На сегодня можно определить сеть Интернет как некую универсальную систему объединенных между собой сетей, позволяющих обеспечить включение практически любых массивов информации для предоставления ее заинтересованным пользователям, а также справочных услуг и других информационных услуг, осуществления различных гражданско-правовых соглашений на основе комбинации информационно - коммуникационных технологий.

Несмотря на сложность вопроса, следует выделить ключевое применительно к Интернету слово - коммуникация, или коммуникационная система. А это значит, что сеть Интернет может рассматриваться как одно из средств массовой коммуникации, который имеет специфические свойства. Это открывает путь к пониманию направлений правового регулирования связанных с ним общественных отношений. Во-первых, как и для любой другой коммуникационной системы, это правовое регулирование правил ее работы, которые адресованы лицам, обеспечивающих ее функционирование, и правила пользования ею, которые адресованы потребителям ее услуг. А обращение его наполнения - информации - должен регулироваться на общих основаниях, которые приняты в государстве. Конечно, существует целый ряд проблем юрисдикции, но, по нашему мнению, не следует их абсолютизировать.

На мой взгляд, попытки определить Интернет как некую специфическую среду, т.е. определенную виртуальную субстанцию, может стать попыткой вывести это средство коммуникации из правового поля, гарантирующего свободу слова. Подобные попытки уже предпринимались в ряде государств и были прекращены только в результате эффективной работы правозащитных механизмов.

Такой подход выглядит наиболее разумным и взвешенным, ведь он основан на уважении права на свободу информации и основополагающем демократическом принципе отношений между человеком и государством "возможно все, что не запрещено законом". Ведь ограничение видов информации, распространяемой по каналам Интернет, которая является, прежде всего, системой коммуникации, практически тоже, что определять, какие темы могут быть предметом частных телефонных разговоров, а какие нет. Вместе гарантируется возможность каждого человека осознанно выбирать, какую информацию он хочет в итоге получить.

3.2 Информационное право и информационная безопасность в бизнесе

Всем известно высказывание «Кто владеет информацией, тот владеет миром». А кто владеет информацией о конкурентах, получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору в такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится краеугольным камнем в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.

Аналитический центр InfoWatch опубликовал данные по утечке данных в России за 2016 год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек. Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство. По сравнению с 2015 годом количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации[10].