"Роль информационного права и информационной безопасности в современном обществе"
Содержание:
Введение
На сегодняшний день, четко отслеживается тенденция на использование информации. Особенностью современного мира выступает переход от индустриального общества к информационному, где информация становится главным ресурсом, даже важнее, чем материальные или энергические ресурсы. Как говорил Н. Ротшильд: «Кто владеет информацией, владеет миром». Ресурсы - это части экономического потенциала, которые находятся в распоряжении общества и могут быть использованы для достижения какой либо цели. Не так давно появилось понятие «информационные ресурсы», оно представляет собой отдельные документы и их части, находящиеся в информационных системах (библиотеки, архивы и т.д.).
Информационные ресурсы – это собственность, подлежащая учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или уничтожить. Информация для владельца представляет собой определенную ценность, так как получение ее получение требует определенных усилий. Себестоимость информации определяется приносимыми ею доходами.
Для защиты информационных ресурсов было создана информационное право и информационная безопасность. Основной целью защиты информации является предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям
Информационная безопасность – это объемная и многогранная тема, которая охватывает необходимые меры для защиты информации, а также алгоритм защиты.
Объектом исследования данной курсовой работы является информационное право и информационная безопасность в условиях современного мира.
Предметом исследования выступают методы и средства защиты информации, а так же борьбы с угрозами информационной безопасности.
Цель данной работы - раскрыть сущность и важность информационного права и информационной безопасности.
Для достижения цели необходимо решить следующие задачи:
- раскрыть содержание понятий «информационное право» и «информационная безопасность»;
- выявить принципы и методы обеспечения информационной безопасности, а также способы ее регулирования;
- рассмотреть проблемы обеспечения информационной безопасности;
- определить значение информационного права и информационной безопасности в современном мире;
Источниками исходной информации для написания данной работы послужили: теоретические материалы исследования различных авторов, учебники и учебные пособия.
Курсовая работа состоит из введения, трех глав, которые разделены по тематике, заключения и списка использованной литературы. Структура работы отражает логику исследования.
Глава 1. Сущность информационного права
Понятие информационного права
Информационное право - это комплексная отрасль права, регулирующая общественные отношения, связанные с созданием, хранением, обработкой, распространением, использованием информационных ресурсов; развитием и использованием новых технологий работы с информацией и технологий её передачи в системах и сетях коммуникаций; обеспечением информационной безопасности общества государства и человека.[3]
Начало формирования информационного права относится к середине XX века, когда информация выделилась как самостоятельный ресурс развития общества, ко времени бурного развития кибернетики и первых опытов разработки и внедрения автоматизированных систем. В современном мире фактором формирования отрасли информационного права стало развитие научно-технического процесса, позволившего создать и внедрить новые технологии работы с информацией и сетевые средства её коммуникации независимо от пространства и времени. Информационно-коммуникационные технологии превратились в ведущую отрасль экономики многих стран. Правовые проблемы формирования информационного общества, информационно-революционных преобразований, обеспечения безопасности информационных ресурсов и прав человека в условиях глобальной информатизации комплексно охватываются законодательством.
Проблематика информационного развития на основе упорядочения отношений в международных и национальных масштабах является предметом государственной политики и национальной безопасности ведущих стран мира, в том числе Российской Федерации. Установки и рекомендации международных актов по вопросу о правах человека в части права на информацию (Всеобщая декларация прав человека, 1948 год; Окинавская хартия развития информационного общества, 2000 год; акты ООН, ЮНЕСКО, ЕС), провозгласивших принцип «информация для всех», направленных на ликвидацию информационного неравенства и обеспечение информационно-компьютерной грамотности на базе цифровых технологий, реализуются в законодательстве РФ с учётом стратегических и тактических задач в информационной сфере. Информационные процессы лежат в основе развития демократии, обеспечения гласности работы органов государственной власти, вовлечения граждан в процессы развития механизмов территориального самоуправления, обучения населения компьютерной и информационной грамотности и культуре. Определяющими для информационного права России являются институты: правового режима информации; права на информацию; гласности и открытости структур публичной власти; регулирования деятельности средств массовой информации, обеспечения информационной безопасности и правовой ответственности в сфере национального и глобального информационного взаимодействия в условиях Интернета.
1.2 Обеспечение информационного права
Основной институт информационного права - право на информацию. В российской доктрине характерно столкновение двух подходов к выбору правового регулирования содержания и форм этого института. Первый из них, широкий, предусматривает ориентацию на закрепление права на информацию разных субъектов с учётом их правового статуса. Это в первую очередь касается граждан, но одновременно требует определения права на информацию юридических лиц и органов государственного и муниципального уровня, а также закрепления права на информацию других организаций. При таком подходе должен быть доступен весь диапазон форм реализации права на информацию всех видов субъектов.
Второй подход, узкий, касается только граждан и одной формы - «доступа», которая охватывает операции поиска и получения информации от её обладателей. Он ориентирован исключительно на получение гражданами информации от органов публичной власти и преимущественно относительно их собственных прав и интересов. Такой подход продиктован практикой законодательства многих стран, сложившейся с учётом первых законов в области свободы информации в США. Этот подход преобладает и в европейском законодательстве. Так, закон Великобритании «О свободе информации» (2002 год) построен на этой концепции и содержит большой перечень ограничений в предоставлении информации гражданам. C учётом этих подходов к определению понятия «право на информацию» происходит размежевание объекта гражданско-правового регулирования и предмета информационного права.
Информационное право регламентирует вопросы, связанные с реализацией функции информирования - доведение до исполнителей и правоприменителей сведений о всей системе правовых норм, не только регулирующих информационные отношения, но и характеризующих состояние правовой информации в целом. И в этой области нет ограничений в выборе областей применения и использования функции информирования любых пользователей. На этой основе работают информационные системы, а также должны действовать все органы, реализующие полномочия в области правотворчества и правоприменения. Кроме того, информационное право регламентирует вопросы, связанные с функцией приведения в действие механизмов той части нормативно-правовых актов, которые регулируют сферу собственно информационных отношений. Эта сторона информационного законодательства является определяющей для оценки состояния и тенденций развития информационного права. Она касается систематизации всего массива нормативного правового материала (по уровням и формам правовых актов и юридической силе отдельных правовых норм), а также распределения функционального воздействия на управление информационной деятельностью в структурах государственной власти, экономической, социальной и иных сферах информационного обеспечения потребностей пользователей потенциалом информационно-коммуникационных технологий.
Основными источниками информационного права в РФ являются: Закон РФ «О средствах массовой информации» (1991 год), федеральные законы «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» (1995 год), «Об информации, информационных технологиях и о защите информации» (2006 год), «О рекламе» (2006 год), «О противодействии терроризму» (2006 год), «О персональных данных» (2006 год) и др. Стратегические направления развития информационного законодательства РФ ориентированы на формирование единого информационного пространства как условия интенсификации процессов социально-экономического, политического и культурного развития страны; создание условий для роста инвестиций в развитие информатизации на основе опережающего производства программных продуктов, нормативно-правового регулирования электронного документооборота.
Особое внимание в стратегическом плане уделяется развитию информационного законодательства субъектов РФ, а также проблемам международного сотрудничества России в информационной сфере. Важность разработки информационного права связана и с проблемами глобализации, в том числе информационного пространства.
Глава 2. Сущность информационной безопасности и основные виды угроз
2.1 История возникновения и развития информационной безопасности
Логично сказать, что такая категория как информационная безопасность возникла через некоторое время после появления средств массовой коммуникации, в том числе с осознанием человеком наличия у людей интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.
Развитие информационной безопасности состоит из 7 основных этапов:
1 этап отмечен до 1816 года - характеризуется использованием естественно возникающих средств информационной коммуникации. В это время основной задачей информационной безопасности является защита сведений о событиях, фактах, имуществе, местонахождении, досье и других данных, имеющих непосредственное отношение к человеку, а также жизненное значение.
2 этап начинается с 1816 года и его связывают с началом использования искусственно созданных технических средств электро- и радиосвязи. В то время, для обеспечения скрытности и защищенности радиосвязи было необходимо использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, для этого требовалась модернизация ранее существующих способов защиты, а именно применение помехоустойчивого кодирования сигнала с последующим декодированием принятого сигнала.
С 1935 года начинается 3 этап, связанный с появлением радиолокационных и гидроакустических средств. Ведущий способ обеспечения информационной безопасности на время данного периода выступает сочетание организационных и технических мер, которые направленны на повышение защищенности радиолокационных средств от воздействия на них приемными устройствами, активными маскирующими и пассивными имитирующими радиоэлектронными помехами.
4 этап берет начало в 1946 году и имеет непосредственную связь с изобретением и внедрением в практикующую деятельность электронно-вычислительных машин, т.е. компьютеров. В это время задачи информационной безопасности решаются благодаря методам и способам ограничения физического доступа к оборудованию средств добывания, а также переработки и передачи информации.
С 1965 года обозначается новый, 5 этап развития информационной безопасности. Он обуславливается созданием и развитием местных информационно-коммуникационных сетей. Задачи информационной безопасности решаются в большинстве методами и способами физической защиты средств добывания, переработки и передачи информации, которые объединены в местную сеть благодаря администрированию и управлению доступом к сетевым ресурсам.
6 этап начинается с 1973 года и связан с использованием более мобильных коммуникационных устройств с относительно широким спектром задач. Благодаря развитию информационных технологий угрозы информационной безопасности становятся намного серьёзнее. Образовываются сообщества людей - хакеров, которые ставят своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс становится важнейшим ресурсом государства, а обеспечение его безопасности - важнейшей и обязательной составляющей национальной безопасности. В этот период формируется информационное право – абсолютно новая и важнейшая отрасль международной правовой системы.
1985 год обозначен началом 7 этапа. Он связан с созданием и развитием глобальных информационно-коммуникационных сетей, использующих космические средства обеспечения. Следующий этап развития информационной безопасности, будет иметь связь с широким спектром используемых действительно мобильных коммуникационных устройств с широчайшим спектром задач и глобальным охватом в пространстве и времени, обеспечивающимся космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимым является создание макросистемы информационной безопасности человечества под заглавием ведущих международных форумов.
2.2 Понятие информационной безопасности
Научно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.
Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.
Информационная безопасность (ИБ) – это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.
Безопасность информации, которая обрабатывается в организации, – это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.
Защита информационных ресурсов должна быть:
- Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.
- Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.
- Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.
- Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.
- Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.
- Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.
- Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.
Информация считается защищенной, если соблюдаются три главных свойства:
Первое – целостность. Предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.
Второе – конфиденциальность. Означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.
Третье – доступность. Подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.
Достаточно нарушить одно из свойств защищенной информации, чтобы использование система стало бессмысленным.
Виды конфиденциальных данных:
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.
Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
Судебные конфиденциальные данные: тайна следствия и судопроизводства.
Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону. [5]
2.3 Средства и методы информационной безопасности
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
К формальным средствам защиты относится широкий диапазон технических средств, который ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Категория нормативных средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
ISO – Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
IEC – Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющие ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.
На практике создание системы защиты информации осуществляется в три этапа:
На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работа на начальном этапе служат 4 вопроса:
- Какие источники информации следует защитить?
- Какова цель получения доступа к защищаемой информации?
Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.
- Что является источником конфиденциальной информации?
Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.
- Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?
Различают следующие способы получения доступа:
- Несанкционированный доступ – незаконное использование данных.
- Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности.
- Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.
Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.
Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.
Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
Технический уровень условно разделяют на несколько подуровней, краткая характеристика которых будет приведена далее:
- физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
- аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
- программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
- математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.
Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.
Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.
Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:
Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.
Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
Статья 272 «Неправомерный доступ к компьютерной информации»;
Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- -телекоммуникационных сетей».
2.4 Основные виды угроз информационной безопасности
Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами. Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.
Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).
Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.
Попытка несанкционированного доступа может происходить несколькими путями:
- через сотрудников, которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
- с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
- с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).
Глава 3. Информационное право и информационная безопасность в современном мире
3.1 Информационное право и информационная безопасность в сети Интернет
Рассматривая проблему безопасности информационной инфраструктуры, нельзя не отметить, что на сегодняшний день наиболее сложной является проблема правового регулирования соответствующих аспектов функционирования глобальной сети Интернет. Трудности начинаются даже при отсутствии однозначного определения сущности этого явления, что для права является критическим фактором. Ведь отсутствие четко очерченного предмета регулирования делает неэффективным или вообще делает невозможным само это регулирование. Эта неопределенность касается также технических аспектов функционирования Интернет. Право же должно рассматривать Интернет не только с технической точки зрения, но и социальной, поскольку в отношении этой сети и внутри нее возникает новый тип общественных отношений, что, возможно, должен быть урегулирован правом.
Таким образом, через целый ряд обстоятельств попытка дать формулировку, определить связи отдельных признаков сети Интернет как объекта права успеха не принесли. На сегодня можно определить сеть Интернет как некую универсальную систему объединенных между собой сетей, позволяющих обеспечить включение практически любых массивов информации для предоставления ее заинтересованным пользователям, а также справочных услуг и других информационных услуг, осуществления различных гражданско-правовых соглашений на основе комбинации информационно - коммуникационных технологий.
Несмотря на сложность вопроса, следует выделить ключевое применительно к Интернету слово - коммуникация, или коммуникационная система. А это значит, что сеть Интернет может рассматриваться как одно из средств массовой коммуникации, который имеет специфические свойства. Это открывает путь к пониманию направлений правового регулирования связанных с ним общественных отношений. Во-первых, как и для любой другой коммуникационной системы, это правовое регулирование правил ее работы, которые адресованы лицам, обеспечивающих ее функционирование, и правила пользования ею, которые адресованы потребителям ее услуг. А обращение его наполнения - информации - должен регулироваться на общих основаниях, которые приняты в государстве. Конечно, существует целый ряд проблем юрисдикции, но, по нашему мнению, не следует их абсолютизировать.
На мой взгляд, попытки определить Интернет как некую специфическую среду, т.е. определенную виртуальную субстанцию, может стать попыткой вывести это средство коммуникации из правового поля, гарантирующего свободу слова. Подобные попытки уже предпринимались в ряде государств и были прекращены только в результате эффективной работы правозащитных механизмов.
Такой подход выглядит наиболее разумным и взвешенным, ведь он основан на уважении права на свободу информации и основополагающем демократическом принципе отношений между человеком и государством "возможно все, что не запрещено законом". Ведь ограничение видов информации, распространяемой по каналам Интернет, которая является, прежде всего, системой коммуникации, практически тоже, что определять, какие темы могут быть предметом частных телефонных разговоров, а какие нет. Вместе гарантируется возможность каждого человека осознанно выбирать, какую информацию он хочет в итоге получить.
3.2 Информационное право и информационная безопасность в бизнесе
Всем известно высказывание «Кто владеет информацией, тот владеет миром». А кто владеет информацией о конкурентах, получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору в такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится краеугольным камнем в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.
Аналитический центр InfoWatch опубликовал данные по утечке данных в России за 2016 год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек. Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство. По сравнению с 2015 годом количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации[10].
Но из-за чего чаще всего возникают угрозы информационной безопасности?
1. Невнимательность и халатность сотрудников. Угрозу информационной безопасности компании, как ни странно, могут представлять вполне лояльные сотрудники и не помышляющие о краже важных данных. Непредумышленный вред конфиденциальным сведениям причиняется по простой халатности или неосведомленности работников. Всегда есть возможность того, что кто-нибудь откроет фишинговое письмо и внедрит вирус с личного ноутбука на сервер компании. Или, например, скопирует файл с конфиденциальными сведениями на планшет, флэшку или КПК для работы в командировке. И ни одна компания не застрахована от пересылки невнимательным сотрудником важных файлов не по тому адресу. В такой ситуации информация оказывается весьма легкой добычей
2. Использование пиратского ПО. Иногда руководители компаний пытаются сэкономить на покупке лицензионного ПО. Но следует знать, что нелицензионные программы не дают защиты от мошенников, заинтересованных в краже информации с помощью вирусов. Обладатель нелицензионного ПО не получает технической поддержки, своевременных обновлений, предоставляемых компаниями-разработчиками. Вместе с ним он покупает и вирусы, способные нанести вред системе компьютерной безопасности. По данным исследования Microsoft, в 7% изученных нелицензионных программ было найдено специальное программное обеспечение для кражи паролей и персональных данных[9].
3. DDoS-атаки. Distributed-Denial-of-Service — «распределенный отказ от обслуживания» — это поток ложных запросов от сотен тысяч географически распределенных хостов, которые блокируют выбранный ресурс одним из двух путей. Первый путь — это прямая атака на канал связи, который полностью блокируется огромным количеством бесполезных данных. Второй — атака непосредственно на сервер ресурса. Недоступность или ухудшение качества работы публичных веб-сервисов в результате атак может продолжаться довольно длительное время, от нескольких часов до нескольких дней. Обычно подобные атаки используются в ходе конкурентной борьбы, шантажа компаний или для отвлечения внимания системных администраторов от неких противоправных действий вроде похищения денежных средств со счетов. По мнению специалистов, именно кражи являются основным мотивом DDoS-атак. Мишенью злоумышленников чаще становятся сайты банков, в половине случаев (49%) были затронуты именно они.
4. Вирусы. Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Это подтверждается многомиллионным ущербом, который несут компании в результате вирусных атак. В последние годы существенно увеличилась их частота и уровень ущерба. По мнению экспертов, это можно объяснить появлением новых каналов проникновения вирусов. На первом месте по-прежнему остается почта, но, как показывает практика, вирусы способны проникать и через программы обмена сообщениями, такие как ICQ и другие. Увеличилось и количество объектов для возможных вирусных атак. Если раньше атакам подвергались в основном серверы стандартных веб-служб, то сегодня вирусы способны воздействовать и на межсетевые экраны, коммутаторы, мобильные устройства, маршрутизаторы. В последнее время особенно активны стали так называемые вирусы-шифровальщики. Весной и летом этого года миллионы пользователей пострадали от атак вирусов WannaCry, Petya, Misha. Эпидемии показали, что жертвой вирусной атаки можно стать, даже если не открывать подозрительные письма.
5. Угрозы со стороны совладельцев бизнеса. Именно легальные пользователи — одна из основных причин утечек информации в компаниях. Такие утечки специалисты называют инсайдерскими, а всех инсайдеров условно делят на несколько групп: «Нарушители» — среднее звено и топ-менеджеры, позволяющие себе небольшие нарушения информационной безопасности — играют в компьютерные игры, делают онлайн-покупки с рабочих компьютеров, пользуются личной почтой. Такая безалаберность способна вызвать инциденты, но чаще всего они являются непредумышленными. Кстати, большинство внешних атак происходят именно через личные почтовые ящики или ICQ сотрудников. «Преступники». Чаще всего инсайдерами являются топ-менеджеры, имеющие доступ к важной информации и злоупотребляющие своими привилегиями. Они самостоятельно устанавливают различные приложения, могут отсылать конфиденциальную информацию заинтересованным в ней третьим лицам и т.д. «Кроты» — сотрудники, которые умышленно крадут важную информацию за материальное вознаграждение от компании-конкурента. Как правило, это весьма опытные пользователи, умело уничтожающие все следы своих преступлений. Поймать их в силу этого бывает очень непросто. Еще одна категория — это уволенные и обиженные на компанию сотрудники, которые забирают с собой всю информацию, к которой они имели доступ. Обычно украденная информация используется ими на новом месте работы, целенаправленная продажа данных в России пока не слишком актуальна.
6. Законодательные перипетии. Государственные органы в России наделены правом конфисковать в ходе проверок оборудование и носители информации. Поскольку большая часть важных данных компании хранится в электронном виде на серверах, то в случае их изъятия компания на какое-то время просто останавливает свою деятельность. Простои при этом никто не компенсирует, а если проверка затягивается, большие убытки могут привести к прекращению деятельности фирмы. Изъятие оборудования — одна из острейших проблем современного бизнеса, при этом поводом для него может послужить все что угодно — от решения следователя до решения суда в рамках какого-либо уголовного дела.
3.3 Информационное право и информационная безопасность в государстве
Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности.
Информация, составляющая государственную тайну, засекречивается. Она подразделяется на секретные сведения, совершенно секретные сведения и сведения особой важности. Отнесение каких-либо сведений к государственной тайне, засекречивание сведений осуществляются путем введения ограничения на их распространение и доступ к носителям информации, которым присваивается гриф секретности.
Для того чтобы гражданин или должностное лицо получили право на доступ к сведениям, составляющим государственную тайну, в установленном порядке должна быть реализована специальная процедура допуска к государственной тайне.
В соответствии со ст. 21 Закона РФ "О государственной тайне" допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.
Допуск должностных лиц и граждан к государственной тайне предусматривает:
– принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;
– согласие на частичные, временные ограничения их прав в соответствии со ст. 24 Закона РФ "О государственной тайне";
– письменное согласие на проведение в отношении них полномочными органами проверочных мероприятий;
– определение видов, размеров и порядка предоставления социальных гарантий, предусмотренных Законом РФ "О государственной тайне";
– ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за его нарушение;
– принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.
Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, законодательством установлены социальные гарантии (ст. 21 Закона РФ "О государственной тайне"): процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ; преимущественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти, предприятиями, учреждениями и организациями организационных и (или) штатных мероприятий.
Должностное лицо или гражданин, допущенные или ранее допускавшиеся к государственной тайне, могут быть временно ограничены в своих правах. Так, согласно ст. 24 Закона РФ "О государственной тайне" могут быть ограничены:
– право выезда за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражданина к государственной тайне;
– право на распространение сведений, составляющих государственную тайну, и на использование открытий и изобретений, содержащих такие сведения;
– право на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.
В соответствии со ст. 7 Закона РФ "О государственной тайне" не подлежат отнесению к государственной тайне и засекречиванию следующие сведения:
– о чрезвычайных происшествиях и катастрофах, которые угрожают безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
– о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, о состоянии преступности;
– о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
– о фактах нарушения прав и свобод человека и гражданина;
– о размерах золотого запаса и государственных валютных резервах РФ;
– о состоянии здоровья высших должностных лиц РФ;
– о фактах нарушения законности органами государственной власти и их должностными лицами.
Решения должностных лиц об отнесении к государственной тайне и о засекречивании указанных сведений граждане вправе обжаловать в суд. Должностные лица, которые приняли такие решения, несут уголовную, административную или дисциплинарную ответственность в зависимости от ущерба, причиненного гражданам, обществу и государству.
Наряду с государственной тайной к информации ограниченного доступа относятся сведения, составляющие служебную, коммерческую, налоговую, банковскую, врачебную, аудиторскую, адвокатскую тайну, тайну завещания, тайну усыновления ребенка, тайну связи, тайну исповеди, конфиденциальные персональные данные, а также сведения, составляющие профессиональную тайну при осуществлении деятельности ломбардов.
Заключение
В ходе работы была подтверждена актуальность выбранной темы, в современном мире, во время развития научно-технического прогресса, особо важно обеспечивать информационную безопасность. Каждый день программисты и ученые находят новые способы для улучшения информационного права и безопасности хранения информации, но «хакеры» не стоят на месте и стараются подбирать коды ко всем шифрам.
В заключение курсовой работы можно сделать ряд выводов:
Во-первых, проблемы, связанные с обеспечением информационной безопасности, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.
Во-вторых, предотвращение несанкционированного доступа к конфиденциальной информации, циркулирующей в телекоммуникационных сетях государственного и военного управления, к информации национальных и международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью и международным терроризмом, а также в банковских сетях является важной задачей обеспечения безопасности глобальной информации. Защите информации в последнее время уделяется все большее внимание на самых различных уровнях - и государственном, и коммерческом.
Список использованной литературы
- Артамонова Я. С., Артамонов П. А. Информационная безопасность и информационные коммуникации // T-Comm - Телекоммуникации и Транспорт. - 2012. - № 4; Шамсуев М.-Э. Х. Теоретические аспекты изучения информационной безопасности // Теория и практика общественного развития. - 2010. - № 2. - С. 322
- Акопов Г. Л. Информационное право. М.: Феникс, 2013.
- Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право./Под ред. академика РАН Б.Н. Топорнина. СПб.: Издательство Р. Асланова "Юридический центр Пресс", 2009, с 22.
- Лопатин В. Н. Информационная безопасность России: Человек, общество, государство. - Москва: Фонд «Университет», 2000. - Серия: Безопасность человека и общества.
- Обеспечение информационной безопасности России. Теоретические и методологические основы / Стрельцов А.А. – М., МЦНМО, 2012. – 296 с.
- Садовничий В. А. Информационная безопасность: новые угрозы мировому сообществу / В. А. Садовничий – М.: изд-во МГУ, 2007. – С. 219.
- Соловьёв, А.В. Информационное общество: полифония культурных форм/ А.В. Соловьёв. – Рязань, Ряз. гос. унт им. С.А. Есенина, 2011. – 184 с.
- Чернов А.А. Становление глобального информационного общества: проблемы и перспективы / А.А. Чернов – М.: Дашков и К, 2003. – С. 232.
- http://club.cnews.ru/blogs/entry/ugrozy_ispolzovaniya_piratskogo_programmnogo_obespecheniya
- http://d-russia.ru/wp-content/uploads/2017/06/InfoWatch_russian_report_2016.pdf
- Способы Хиджирования валютных рисков
- Правовое положение получателя социальных услуг (Особенности правового статуса получателей социальных услуг в России)
- Понятие, признаки и правовое регулирование несостоятельности (банкротства) (Общие теоретические положения о несостоятельности (банкротстве))
- Правовое положение общества с ограниченной ответственностью (Общие положения об обществе с ограниченной ответственностью)
- Общая характеристика компьютерной терминологии на материале английского и русского языков
- Процессы принятия решений в организации (Теоретические основы управленческих решений в деятельности менеджера)
- Организационная культура и ее роль в современных организациях (ООО «ИПК «Одеон»)
- Планирование туризма в регионе как основа устойчивого развития территории (Теоретические аспекты развития туризма на региональном уровне )
- процесс семьи в развивающейся обучения активную младшего распределением возраста
- Управление поведением в конфликтных ситуациях (ООО «Визави»)
- Современные языки программирования)
- Проектирование реализаций операций бизнес процесса «Продажи»)