ЭКОНОМИЧЕСКОГО ОБЪЕКТА
Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.
Методы и средства обеспечения безопасности экономического объекта представлены на рисунке 2.
Рисунок 2. Методы и средства информационной безопасности экономического объекта
Особо следует сказать о законодательных и организационных средствах обеспечения информационной безопасности.
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято.
В рамках обеспечения информационной безопасности на законодательном уровне рассматриваются две группы мер:
· меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы РФ.
В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.
В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».
В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.
Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.
С принятием в 1992 г. Закона РФ «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».
В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.
В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.
В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.
Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, ИТ, защите информации и др.
Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).
Доктрина информационной безопасности Российской Федерации утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.
К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188.
С учетом существующего законодательства для создания и поддержания необходимого уровня информационной безопасности в организациях (на предприятиях и фирмах) разрабатывается система соответствующих правовых норм, представленная в следующих документах:
· Уставе и/или учредительном договоре;
· коллективном договоре;
· правилах внутреннего трудового распорядка;
· должностных обязанностях сотрудников;
· специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);
· договорах со сторонними организациями;
· трудовых договорах с сотрудниками;
· иных индивидуальных актах.
Организационное обеспечение информационной безопасности – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.
Организационное обеспечение компьютерной безопасности включает в себя ряд:
· организационно-административных;
· организационно-экономических;
· организационно-технических мероприятий;
В таблице 1 изложены организационно-административные и организационно-экономические мероприятия, обеспечивающие защиту документальной информации.
Таблица 1. Обеспечение информационной безопасности организации
| Составные части делопроизводства | Функции обеспечения ИБ при работе с документами | Способы выполнения |
| Документирование | Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки | Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов |
| Учет документов | Предупреждение утраты (хищения) документов | Контроль за местонахождением документа |
| Организация документооборота | Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов | Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками |
| Хранение документов | Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность | Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения |
| Уничтожение документов | Исключение доступа к бумажной «стружке» | Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов |
| Контроль наличия, своевременности и правильности исполнения документов | Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи | Установление порядка проведения наличия документов и порядка их обработки |
Комплекс организационно-технических мероприятий состоит:
· в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
· в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
· в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
· в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
· в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.