Угрозы, риски, правонарушения в области информационной безопасности

Наиболее общим понятием, объединяющим все виды нарушений безопасности информационных ресурсов, информационных технологий и прав субъекта на информацию, является понятие "несанкционированный доступ" к объекту защиты от факторов нарушения безопасного функционирования. Причинами нарушения безопасности являются: неудовлетворительная работа по организации охраны, защиты и использования соответствующего ресурса самим субъектом, ответственным за обеспечение информационной безопасности.

Нарушениями в области информационной безопасности могут быть угрозы, риски, правонарушения – проступки и преступления, различаемые по степени общественной опасности, последствий и виновности нарушителя.

К угрозам обычно относят умышленные воздействия, включая и несанкционированный доступ со стороны внешних сил, относительно конкретной организации или информационной системы.

Угрозы в интернет-среде могут исходить от ряда субъектов. В отношениях по обеспечению информационной безопасности в этом случае участвуют: операторы интернет- связи, абоненты, другие пользователи, правоохранительные органы. Например, к угрожающим действиям оператора относятся такие действия, как: незаконный сбор сведений об информационном общении абонента, умышленное изменение времени и скорости обмена информацией, фильтрация содержимого текста в сети и т.д.^[1]

К классификации угроз в области обеспечения безопасности могут быть применены различные подходы. Обратим внимание на два из них: во-первых, угрозы состоянию всего комплекса ИКТ и его составляющих, угрозы внутрисистемные и внешние; во-вторых, угрозы от самой информации и средств ее обработки и передачи для сфер, в которых используют эти ресурсы. Это области национальной безопасности: оборонная, экономическая, производственная, социальная, научная, управленческая и т.п. Особенно чувствительными являются области обращения социально значимой, личной информации, а также области использования информации и информационных технологий двойного назначения и критически важных объектов.

Риск как возможное наступление неблагоприятных последствий возникает, чаще всего, в результате отступлений от установленных правил поведения и организации отношений субъектов, самостоятельно обеспечивающих безопасность своих информационных систем, допускающих нарушение правового режима информационных ресурсов, информационных технологий. Распространение, например, информации порнографического характера, о наркотиках и т.п. влечет неотвратимость уголовной ответственности за нарушение закона для тех, кто распространяет такую информацию и создает угрозы для общества в целом.

К области рисков следует отнести и промахи в законодательной практике. Федеральный закон "О персональных данных", принятый в 2006 г., не имел подготовленной базы для его исполнения. Соответственно, в 2009 г. возник риск того, что он не будет действовать в полной мере, так как информационные системы персональных данных, созданные до вступления его в силу, не могут быть до 1 января 2010 г. приведены в соответствие с этим законом. Поэтому указанный срок был продлен до 1 января 2011 г. Такая ситуация объясняется поспешностью принятия закона, но одновременно с этим и неготовностью системы отношений и инфраструктуры к его реализации^[2].

Упущения в правовом обеспечении мер безопасности, небрежность в оформлении документов и их баз данных, неправильное оформление трудовых отношений с работниками, соприкасающимися с информацией ограниченного доступа, обязательно создают возможность возникновения угроз, идущих изнутри самой организации. Эти же ситуации могут возникнуть и в результате небрежного оформления отношений с контрагентами или иными субъектами информационного взаимодействия.

Правонарушения могут быть реализованы в форме должностного проступка, административного правонарушения, преступления. Напомним, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое устанавливается административная ответственность в соответствии с действующим КоАП РФ. Уголовные преступления в информационной сфере предусмотрены УК РФ.

Для осмысления того, какое значение имеет ситуация нарушения обеспечения информационной безопасности, может быть интересен тот факт, что только 27% организаций используют системы защиты от утечки информации, 47% – не используют, а 24,7% – не знают об этом, что дает основания говорить об их безразличном отношении к данному вопросу. Все же создание центров управления безопасностью (SOS – Security Operation Center) является весьма полезным для предупреждения угроз, рисков и правонарушений в информационной сфере^[3].