Правовые основы использования информационных систем

Содержание:

Введение

Актуальность темы исследования. Деятельность современного человека неразрывно связана с использованием различных компонентов компьютерной техники и информационных технологий - персональных компьютеров, мобильных устройств, серверов разных компаний, Интернета и т. д.

Информационная безопасность - это защита сбалансированных интересов производителей информационных и коммуникационных технологий и, в частности, сетей, потребителей, операторов и органов власти в области информации. В свою очередь, информационная сфера - это совокупность информации, информационная инфраструктура, устройства, использование информации, а также система регулирования отношений, возникающих в результате использования сетей связи.

Систематизация законодательства сегодня - объективная необходимость. Это помогает законодателю (за счет систематической систематизации правового материала) быстро и быстро найти информацию, необходимую для разработки новых документов, выявить существующие недостатки, пробелы и противоречия и попытаться их устранить. В то же время систематизация служит важным способом правильного понимания смысла правовых норм и их правильного применения на практике, делая законодательство более доступным для большого количества людей, включая организации, и тем самым позволяя им защищать свои законные права и интересы.

Существование и развитие информационного общества в настоящее время невозможно без использования информационных сетей, глобальных сетей передачи данных и сетей связи - радио, телевидения, сетей фиксированной и мобильной телефонной связи, Интернета и т. д.

1. Определение защищенной информационной системы

В отличие от локальных корпоративных сетей, подключенных к Интернету, где обычные инструменты безопасности в значительной степени решают проблему защиты сегментов внутренней сети от несанкционированного доступа, распределенные корпоративные информационные системы, системы электронной коммерции и предоставление услуг пользователям Интернета предъявляют повышенные требования к информационной безопасности.

Межсетевые экраны, системы обнаружения вторжений, сканеры для выявления уязвимостей в сетевых узлах, операционных системах и СУБД, фильтры пакетов данных на маршрутизаторах - всего этого мощного арсенала (так называемого «жесткого периметра») достаточно для обеспечения безопасности критически важных информационных систем, работающих в сети Интернет^[1].

Надежная и безопасная информационная система - это система, использующая достаточное количество аппаратного и программного обеспечения для формирования одновременной надежной обработки информации с различной степенью конфиденциальности различными пользователями или группами пользователей, без нарушения прав доступа, данных и информации, и подтверждающая ее работоспособность в Воздействие предполагает сочетание внешних и внутренних угроз.

Это качественное определение содержит необходимые и достаточные условия безопасности. Пока не определены механизмы и методы их реализации безопасности - практическая реализация зависит от многих факторов: размера и типа компании, ее тематической области, типа информации, степени ее распространения и сложности топологии сети, используемого программного обеспечения и т. д.

Термин «Защищенные информационные системы» включает в себя ряд законодательных инициатив, научных, технических и технических решений, готовность государственных организаций и компаний использовать их, чтобы люди, использующие устройства на базе компьютеров и программного обеспечения, чувствовали себя комфортно и в безопасности. В целом можно говорить о степени доверия или надежности систем, если судить по двум основным критериям: политика безопасности и полнота безопасности и страхование безопасности^[2].

Доступность и полнота политики безопасности - это набор внешних и корпоративных стандартов, правил и стандартов поведения, которые следуют законам страны и регулируют порядок сбора, обработки, распространения и защиты информации организацией. В частности, стандарты и правила определяют, когда и как пользователь может манипулировать определенными объемами данных.

Политика безопасности определяет права и обязанности пользователей и персонала. В зависимости от сформулированной политики можно выбрать конкретные механизмы обеспечения безопасности системы. Чем больше информационная система и чем больше у нее «входов» и «выходов» (распределенная система), тем более строгой, подробной и универсальной должна быть политика безопасности.

Страхование безопасности - это мера доверия, которую можно поместить в архитектуру, инфраструктуру, программное и аппаратное обеспечение системы и методы управления ее конфигурацией и целостностью. Страхование может возникнуть в результате тестирования и проверки, а также в результате проверки (системы или работы) общей конструкции и производительности системы в целом и ее компонентов^[3].

Гарантия показывает, насколько правильно механизмы отвечают за обеспечение политики безопасности. Страхование - это пассивная, но очень важная часть защиты, которая реализуется за счет качества разработки, внедрения, эксплуатации и обслуживания информационной системы и лежащих в основе принципов безопасности.

2. Виды угроз системы информационной безопасности на государственном и частном уровне

Актуальность построения системы информационной безопасности подтверждается постоянным ростом хакерских атак, нападений на банковские, корпоративные сети и компьютеры частных пользователей. Даже устройства «Интернета» несут в себе риски при несанкционированном доступе. Все это порождает особое внимание к построению систем безопасности.

Информационная безопасность на любом уровне предполагает реализацию трех составляющих.

Рисунок 1 – Составляющие информационной безопасности^[4]

Хакеры могут быть заинтересованы в уничтожении любого из этих компонентов, в зависимости от целей, которые будут разными для организатора бизнес-шпионажа, злоумышленника, крадущего номера банковских карт, и иностранного государства, которое поставило перед собой цель дезорганизовать систему управления противником с помощью информационных технологий.Модель угроз также ранжируется в зависимости от уровня сети. Концепция информационной безопасности описывает основные типы угроз государству, а значит, и обществу, и компании.

Рисунок 2 - Основные типы угроз государству от информационных систем^[5]

На частном уровне виды угроз конкретизируются. В различных исследованиях называются системные проблемы безопасности информационных систем.

Рисунок 3 – Конкретизация видов угроз на частном уровне^[6]

Уязвимость программного обеспечения, наличие незадекларированных возможностей позволяют использовать различные способы взлома баз данных.

Вся концепция работы с безопасностью информационных систем должна соответствовать требованиям регуляторов, а в ряде случаев и превосходить их, так как иногда разрабатываемые рекомендации не отвечают растущему уровню угроз.

3. Правовое регулирование информационной безопасности

Правовое регулирование информационной безопасности формируется на основе информационных отношений, которые охватывают все сферы деятельности в рамках тематики в информационной сфере.

Целью правоотношений в области информационной безопасности является духовность, нравственность, интеллектуальность личности и общества, права и свободы личности в области информации. Темами правоотношений в сфере информационной безопасности являются люди, государство, законодатели, исполнительная и судебная власть, система безопасности, Совет безопасности России и граждане.

Права и обязанности в отношении веществ определяются нормами в законах и других нормативных актах, которые устанавливают правила поведения веществ для защиты объектов правоотношений, контроля и надзора для обеспечения информационной безопасности.

В России важнейшие задачи информационной безопасности закреплены в концепции информационной безопасности, принятой в качестве единой государственной стратегии по борьбе с наиболее важными видами угроз.

Документ, подготовленный Советом Безопасности РФ, станет основой для разработки новых законов и положений. Он не регулирует деятельность компаний в области информационной безопасности.

Для банков и финансового сектора центральный банк разрабатывает дополнительные требования.

Если работа государственной или частной организации связана с информационными массивами, защита которых предусмотрена государственной политикой, например, с персональными данными, требования к информационной безопасности, выбор оборудования, программного обеспечения и организационных мер защиты будут определяться рекомендациями и правилами регулирующих органов - ФСТЭК РФ и ФСБ. РФ.

В результате анализа сферы защиты информации в сфере информации с учетом положений доктрины информационной безопасности и норм информационного законодательства в этой сфере можно выделить три основных направления правовой защиты объектов в сфере информации:

1. Защита чести, достоинства и репутации граждан и организаций.духовность и интеллектуальный уровень развития личности; нравственные и эстетические идеалы; стабильность и устойчивость в развитии общества; информационный суверенитет и государственная целостность от угроз воздействия вредоносной, опасной информации низкого качества, неверной, ложной информации; дезинформация; от сокрытия информации об опасности для жизни человека; развитие общества и государства от нарушений порядка распространения информации.

2. Защита информации и информационных ресурсов, преимущественно ограниченного доступа (все виды секретов, включая секреты личного характера), а также информационных систем, информационных технологий, связи и телекоммуникаций от угрозы несанкционированного и незаконного воздействия со стороны посторонних лиц.

3. Защита информационных прав и свобод личности, распространение, поиск и получение, передача и использование информации, права интеллектуальной собственности; владение информационными ресурсами и документированной информацией, информационными системами и технологиями в информационной сфере в связи с компьютеризацией.

Правовой основой для всех направлений правового обеспечения информационной безопасности являются информационно-правовые нормы Конституции Российской Федерации^[7].

4. Правовое регулирование защиты информации в России

Проникая во все сферы общества и государства, информация приобретает конкретные политические, материальные и ценные выражения. Что касается усиления роли информации на современном этапе, то правовое регулирование, возникающего в информационной сфере, является приоритетным направлением регуляторного процесса в Российской Федерации (РФ), целью которого является обеспечение информационной безопасности государства.

Конституция РФ является основным источником права в области обеспечения информационной безопасности в России.Основоположным законодательным актом в России, регулирующим отношения в информационной сфере (в том числе связанные с защитой информации), является Федеральный закон «Об информации, информационных технологиях и о защите информации»^[8].

В Законе даны определения важнейших терминов в информационной сфере. Согласно статье 2 Закона, информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Одним из значительных успехов закона является разграничение информационных ресурсов по категориям активов. Согласно закону документированная информация с ограниченным доступом, согласно условиям ее правовой системы, делится на информацию, отнесенную к государственной тайне и конфиденциальную.

В законе содержится перечень информации, которую запрещено относить к информации с ограниченным доступом. Это в первую очередь законодательные и иные нормативные акты, определяющие правовой статус государственных органов, органов местного самоуправления, организаций и общественных объединений; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, демографическую, санитарно-эпидемиологическую, метеорологическую и другую подобную информацию; документы, содержащие информацию о деятельности органов государственной власти и местного самоуправления, об использовании бюджетных средств, о состоянии экономики и потребностях населения (за исключением сведений, составляющих государственную тайну).

В законе также отражены вопросы, касающиеся порядка обработки персональных данных, сертификации информационных систем, технологий, способов их поддержки и лицензирования деятельности по формированию и использованию информационных ресурсов.

Глава 5 Закона является «базовой» для российского законодательства в области защиты информации.

Несмотря на то, что принятие Федерального закона «Об информации, информатизации и защите информации» является определенным «прорывом» в информационном законодательстве, данный Закон имеет ряд недостатков:

1. Закон применяется только к документированной информации, то есть уже полученной, объективированной и зарегистрированной на носителе.
2. Ряд статей закона носит декларативный характер и не находит практического применения.
3. Определения некоторых терминов, представленные в статье 2 Закона, не сформулированы четко и однозначно.

Институт государственной тайны занимает приоритетное место в законодательстве каждого штата. Причина тому - размер ущерба, который может быть причинен государством в результате разглашения сведений, составляющих государственную тайну.

В последние годы в Российской Федерации достаточно динамично развивается законодательство в области защиты государственной тайны.

Правовой режим государственной тайны установлен первым в истории российского государства Законом «О государственной тайне», который вступил в действие 21 сентября 1993 года (новая редакция Закона Российской Федерации «О государственной тайне» была принята в 1997 году)^[9].

Указанный закон является специальным законодательным актом, регулирующим отношения, возникающие в связи с отнесением информации к государственной тайне, ее рассекречиванием и защитой.

Согласно закону, государственная тайна - это информация, охраняемая государством с точки зрения его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности России.

Инструменты защиты информации в соответствии с Законом включают технические, криптографические, программные и другие средства, предназначенные для защиты информации, составляющей государственную тайну, средства, с помощью которых они реализуются, а также средства контроля эффективности защиты информации.

С целью оптимизации видов информации, относящейся к конфиденциальной, Президент Российской Федерации своим Указом от 6 марта 1997 года № 188 утвердил Перечень сведений конфиденциального характера, в котором выделены шесть основных категорий информации^[10]:

1. Персональные данные.
2. Тайна следствия и судопроизводства.
3. Служебная тайна.
4. Профессиональные виды тайн (врачебная, нотариальная, адвокатская и т.д.).
5. Коммерческая тайна.
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В настоящее время ни одно из перечисленных институтов не регулируется на уровне конкретного закона, что, конечно же, не способствует улучшению защиты этой информации.

Основную роль в создании правовых механизмов защиты информации играют органы государственной власти Российской Федерации.

Президент Российской Федерации является «гарантом» Конституции, прав и свобод (в том числе информации) Российской Федерации человека и гражданина; защита информации.

Заключение

В свете исторического опыта Российская Федерация считает государства-участники СНГ важнейшими партнерами для сотрудничества в этой области. Однако нормативно-правовая база защиты информации в странах СНГ развита недостаточно.

Межведомственная комиссия по защите государственной тайны, созданная Указом Президента Российской Федерации от 8 ноября 1995 г. № 1108, играет особую роль в формировании нормативно-правовой базы защиты информации в целях реализации единой государственной политики в области классификации информации и координировать деятельность государственных органов.по защите государственной тайны в целях разработки и реализации государственных программ и нормативных документов.

По решениям Межведомственной комиссии могут разрабатываться проекты указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации.

Решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами управления субъектов Российской Федерации, органами местного самоуправления, предприятиями, учреждениями, организациями, должностными лицами и гражданами.

Государственная техническая комиссия России - один из основных органов по решению проблем информационной безопасности в Российской Федерации.

Некоторые материалы, относящиеся к Государственной технической комиссии России, публикуются в сети Интернет по адресам: www.infoteks.ru и www.jet.msk.ru.

Несмотря на то, что относительно полная законодательная база в области информационной безопасности и защиты была создана в России в относительно короткие сроки, в настоящее время существует острая необходимость в ее дальнейших улучшениях.

Список литературы:

1. Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020)
2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с изменениями и дополнениями)
3. Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1 (в ред. от от 29.07.2018 г.)
4. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера"
5. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c.
6. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ, 2017. — 384 c.
7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. — М.: ГЛТ, 2017. — 536 c.
8. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c.
9. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2017. — 277 c.
10. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. — М.: Гелиос АРВ, 2017. — 336 c.

1. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. — М.: Гелиос АРВ, 2017. — 336 c. ↑

2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c. ↑

3. .Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ, 2017. — 384 c. ↑

4. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c. ↑

5. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. — М.: ГЛТ, 2017. — 536 c. ↑

6. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2017. — 277 c. ↑

7. Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) ↑

8. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" ↑

9. Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1 (в ред. от от 29.07.2018 г.) ↑

10. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" ↑