Правовые меры защиты информации
Содержание:
Введение
Информационная сфера сегодня – не только одна из важнейших сфер международного сотрудничества, но и объект соперничества. Страны с более развитой информационной инфраструктурой, устанавливая технологические стандарты и предоставляя потребителям свои ресурсы, определяют условия формирования и осуществления деятельности информационных инфраструктур в других странах, оказывают воздействие на развитие их информационной сферы. Поэтому в промышленно развитых странах при формировании национальной политики приоритет получают развитие средств защиты и обеспечение безопасности информационной сферы.
Концентрация информации в компьютерных системах вынуждает наращивать усилия по её защите. Национальная безопасность, государственная тайна, коммерческая тайна – все эти юридические аспекты требуют усиления контроля над информацией в коммерческих и государственных организациях. Работа, ведущаяся в этом направлении, привела к появлению новой дисциплины – «Информационная безопасность».
Специалист в области информационной безопасности отвечает за разработку, создание и эксплуатации системы, призванной обеспечить целостность, доступность и конфиденциальность циркулирующей в организации информации. В его функции входит обеспечение физической защиты (аппаратные средства, компьютерные сети), а также защиты данных и программного обеспечения.
Обеспечение информационной безопасности – дело не только очень дорогостоящее (затраты на покупку и установку технических и программных средств защиты могут составлять более половины стоимости компьютерной техники), но и очень сложное: при создании системы безопасности информации трудно определить возможные угрозы и уровень необходимой защиты, требуемый для поддержания информационной системы в рабочем состоянии.
Современное информационное общество может формироваться и эффективно развиваться только в условиях правового государства, основанного на безусловном применении норм законодательства. Роль права в жизни информационного общества становится определяющей, все его члены должны исполнять нормы законов и разрешать возникающие споры цивилизованным способом на основе законодательства.
Основные понятия защиты информации и информационной безопасности
Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных. Поэтому обеспечение информационной безопасности является одним из ведущих направлений развития информационных технологий.
Рассмотрим основные понятия защиты информации и информационной безопасности:
Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Объект защиты – сама информация, носитель информации или информационный процесс, в отношении которых необходимо осуществлять защиту в соответствии с поставленной целью защиты информации.
Цель защиты информации – желаемый результат защиты информации. Целью защиты информации может являться предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной потери (утечки) информации или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации – степень соответствия результатов защиты информации по отношению к поставленной цели.
Защита информации от утечки – деятельность по предотвращению распространения защищаемой информации (её разглашения), несанкционированного доступа к защищаемой информации и получения защищаемой информации злоумышленниками.
Защита информации от разглашения – предотвращение несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа – предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами, собственником либо владельцем информации правил доступа к защищаемой информации. Заинтересованным субъектом может быть юридическое лицо, группа физических лиц, общественная организация, отдельное физическое лицо и даже государство.
Система защиты информации – совокупность органов и исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по установленным правилам, которые соответствуют правовым, организационно-распорядительным и нормативным документам по защите информации.
Под информационной безопасностью понимают защищённость информации от незаконного ознакомления, преобразования и уничтожения, а также защищённость информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. (попытки проникновения злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия (ураган, землетрясение, пожар) и т. п.)
Классификация и содержание возможных угроз информации
Угрозы безопасности информации в современных системах её обработки определяются умышленными (преднамеренные угрозы) и естественными (непреднамеренные угрозы), разрушающими и искажающими воздействия внешней среды, надёжностью функционирования средств обработки информации, а также преднамеренных корыстным воздействием несанкционированных пользователей, целями которых являются хищение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации. При этом под умышленными, или преднамеренными, понимаются такие угрозы, которые обусловливаются злоумышленными действиями людей.
Случайными, или естественными, являются угрозы, не зависящие от воли людей. В настоящее время принята следующая классификация угроз сохранности (целостности) информации.
Источники угроз. Под источником угроз понимается непосредственный исполнитель угрозы с точки зрения её негативного воздействия на информацию. Источники можно разделить на следующие группы:
— люди;
— технические устройства;
— модели, алгоритмы, программы;
— технологические схемы обработки;
— внешняя среда.
Предпосылки появления угроз. Существуют следующие предпосылки, или причины появления угроз:
— объективные (количественная или качественная недостаточность элементов системы) – не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;
— субъективные – непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
Угрозы информационным ресурсам проявляются в овладении конфиденциальной информацией, её модификации в интересах злоумышленника или её разрушении с целью нанесения материального ущерба.
Осуществление угроз информационной безопасности может быть произведено:
через агентурные источники в органах коммерческих структур, государственного управления, имеющих возможность получения конфиденциальной информации;
путём подкупа лиц, работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;
путём перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и программно-математических воздействий на неё в процессе обработки и хранения;
путём подслушивания переговоров, ведущихся в служебных помещениях, автотранспорте, в квартирах и на дачах;
через переговорные процессы с зарубежными или отечественными фирмами, используя неосторожное обращение с информацией.
через «инициативников» из числа сотрудников, которые хотят улучшить своё благосостояние с помощью «заработка» денег или проявляют инициативу по другим материальным или моральным причинам.
Способы и методы защиты информационных ресурсов
Вместе с развитием способов и методов преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный этап развития этой проблемы характеризуется переходом от традиционного её представления как проблемы защиты информации к более широкому пониманию – проблеме информационной безопасности, заключающейся в комплексном её решении по двум основным направлениям.
К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом невозможность несанкционированного доступа к ним. При этом под конфиденциальными сведениями понимаются сведения ограниченного доступа общественного характера (коммерческая тайна, партийная тайна и т. д.).
Ко второму направлению относится защита от информации, которая в последнее время приобретает международный масштаб и стратегический характер. При этом выделяют три основных направления защиты от так называемого информационного оружия (воздействия):
– на технические системы и средства;
– общество;
– психику человека.
В соответствии с этим подходом уточнены и дополнены множества угроз информации, функции и классы задач по защите информации.1
Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.2
Обеспечение безопасности информации требует сохранения следующих её свойств:
– целостности;
– доступности;
– конфиденциальности.
Целостность информации заключается в её существовании в неискажённом виде, т. е. неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения.
Доступность – свойство, характеризующее способность информации обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
Конфиденциальность – свойство, указывающее на необходимость введения ограничений на доступ к ней определённого круга пользователей, а также статус, предоставленный данным и определяющий требуемую степень их защиты.
Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.
Методы обеспечения информационной безопасности весьма разнообразны.
Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях. Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности. Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.
Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная разработка таких мер.
I стадия – выработка требований – включает:
определение состава средств информационной системы
анализ уязвимых элементов информационной системы
оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов)
анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы)
II стадия – определение способов защиты – включает ответы на следующие вопросы:
какие угрозы должны быть устранены и в какой мере?
какие ресурсы системы должны быть защищаемы и в какой степени?
с помощью каких средств должна быть реализована защита?
какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз?
III стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.
Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются:
разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности;
разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения;
развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности.
Реализация вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах.
Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации:
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.
(часть 1.1 введена Федеральным законом от 31.12.2017 )
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
4. Провайдер хостинга, оператор связи и владелец сайта в сети "Интернет" не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.
Важнейшим документом в сфере информационной политики, который был принят в России и реализуется в настоящее время, является Доктрина информационной безопасности.
Доктрина информационной безопасности Российской Федерации является базовым концептуальным документом, который определяет основные направления обеспечения одного из ключевых направлений безопасности российского государства. Она была одобрена Советом Безопасности РФ 23 июня и утверждена президентом России В.В. Путиным 9 сентября 2000 г. В доктрине отмечается, что современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
Доктрина информационной безопасности служит основой:
для формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения
информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной
безопасности Российской Федерации.
Заключение
Как верно отмечает белорусский исследователь С.А. Трахименок, информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности любого государства. Национальная безопасность Российской Федерации также существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать, учитывая, в частности, усиливающиеся угрозы со стороны криминальных группировок, террористов, приверженцев любой экстремальной идеи и других деструктивных общественных сил.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности. Решение этой проблемы является первостепенным для дальнейшей разработки доктринальных основ обеспечения информационной безопасности.
В этом документе закреплены четыре составляющие национальных интересов Российской Федерации в информационной сфере. Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина области получения информации и ее использования, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Второй составляющей является информационное обеспечение государственной политики Российской Федерации, которое заключается в доведении до сведения российской и мировой общественности достоверной и позитивной информации о государственной политике России, ее официальной позиции по социально значимым вопросам российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Именно эта составляющая информационной безопасности российского государства имеет самое непосредственное отношение к области внешней политики и отражает важнейшие внешнеполитические задачи Российской Федерации на международной арене.
- Модели анализа покупательского поведения
- Международный коммерческий арбитраж и его роль в международном гражданском процессе
- Коллизионно-правовое регулирование институтов опеки и попечительства в международном частном праве
- Применение электронной подписи в системах электронного документооборота
- Технология микрокубов
- Календарь соревнований по легкой атлетике
- Классификация ЭВМ по принципу действия
- ПРЕКРАЩЕНИЕ ТРУДОВОГО ДОГОВОРА ПО ОБСТОЯТЕЛЬСТВАМ, НЕ ЗАВИСЯЩИМ ОТ ВОЛИ СТОРОН ТРУДОВОГО ДОГОВОРА
- Правовые акты управления: понятие, функции и формы
- Понятие угрозы информационной безопасности
- Правовое регулирование инвестиционной деятельности
- Документальное оформление системы наставничества