Правовые основы информационных технологий и защиты информации
Обеспечение информационной безопасности отдельных граждан, предприятий, организаций, так же как и обеспечение национальной безопасности в информационной сфере, требует законодательной поддержки на государственном уровне. К правовым мерам обеспечения информационной безопасности относится разработка специализированных нормативных правовых актов (законов, постановлений и т.п.), а также нормативных методических документов (в первую очередь, стандартов обеспечения безопасности). В 2005-2006 гг. российское правительство плотно взялось за создание и совершенствование законодательства в сфере информационных технологий и информационной безопасности. Особое внимание разработке этой отрасли права уделяется в связи с реализацией проекта «Электронное правительство» («Концепции использования информационных технологий в деятельности федеральных органов государственной власти»), согласно которой к 2010 году системы электронного документооборота будут внедрены во всех федеральных органах власти, электронными станут более 70 % всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные информационные системы обретут всеобщую совместимость.
Основу этому процессу положила утвержденная президентом в 2000 году «Доктрина информационной безопасности Российской Федерации» (№Пр-1895 от 09.09.2000). «Доктрина» развивает концепцию национальной безопасности применительно к информационной сфере и служит основой для трех направлений:
• формирование государственной политики в области обеспечения информационной безопасности РФ;
• подготовка предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
• разработка целевых программ обеспечения информационной безопасности РФ, а также развитие отечественной информационной инфраструктуры.
В июле 2006 г. принят федеральный закон №149-ФЗ «Об информации, информационных технологиях и защите информации», пришедший на смену старым законам «Об информации, информатизации и защите информации» (№24-ФЗ от 24.02.95) и «Об участии в международном информационном обмене» (№85-ФЗ от 04.07.96) и некоторым другим нормативным актам, и регламентирующий основные отношения в информационной сфере.
В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Наряду с существующими ранее законами «О государственной тайне» (№5485-1 от 21.07.93), «О средствах массовой информации», законодательстве об архивном фонде РФ и архивах и уже упомянутом законом «Об информации, информационных технологиях и защите информации», принят ряд важных для развития информационных технологий и обеспечения информационной безопасности законодательных актов: «Об электронной цифровой подписи» (№1-ФЗ от 10.01.2002), «О коммерческой тайне» (№98-ФЗ от 29.07.2004), «О персональных данных» (№152-ФЗ), новые гражданский, уголовный и административный кодексы. Этими правовыми актами, в частности, определяются виды информации, которую можно относить к конфиденциальной, требования к организации информационной безопасности, критерии разграничения доступа к информации, условия ее отнесения к государственной, коммерческой или служебной тайне, а также условия распространения на информацию прав собственности. В ближайшей перспективе – пополнение информационного права РФ новыми законами «Об электронной подписи» (закон «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается уже 3-я его редакция), «Об электронном документе», «О доступе к информации».
Условная классификация национальных правовых актов в информационной сфере приведена в табл. 4.5.
Таблица 4.5
Законодательство РФ в информационной сфере
| Область правового регулирования | Основные законодательные акты |
| Основы информационной безопасности | «Доктрина информационной безопасности Российской Федерации», ФЗ «Об информации, информационных технологиях и защите информации» |
| Обеспечение электронного докуметооборота | ФЗ «Об электронной цифровой подписи», Гражданский кодекс РФ. Часть 4. «Концепция использования информационных технологий в деятельности федеральных органов государственной власти» – целевая государственная Программа на 2002-2010 гг. (утверждена Постановлением Правительства РФ) |
| Правовые режимы доступа к информации, различные виды тайн | ФЗ «О государственной тайне», ФЗ «О коммерческой тайне», ФЗ «О персональных данных», ФЗ «О банках и банковской деятельности», Таможенный, налоговый, гражданский, уголовный, административный, трудовой кодексы РФ, указы Президента РФ, утверждающие перечни сведений конфиденциального характера и сведений, отнесенных к государственной тайне, архивное законодательство РФ. |
Окончание таблицы 4.5
| Область правового регулирования | Основные законодательные акты |
| Производство и использование систем защиты информации | ФЗ «О федеральных органах правительственной связи и информации», ФЗ «О лицензировании отдельных видов деятельности», постановления Правительства РФ о сертификации средств защиты информации и лицензировании деятельности в области защиты информации. |
| Защита авторских и имущественных прав разработчиков информационных систем | Гражданский кодекс РФ. Часть 4. |
Информация определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Объектом правового регулирования могут быть конкретные формы существования информации:
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Множество информационных объектов подразделяется на две категории – с ограниченным доступом и общедоступные. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не может быть ограничен в соответствии с действующим законодательством (например, информация о состоянии окружающей среды, деятельности государственных органов и т.п.). В свою очередь, информация с ограниченным доступом считается конфиденциальной, включая государственную, служебную, профессиональную (банковская, нотариальная и т.п.), коммерческую тайны, персональные данные и другие виды тайн.
Информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке. Законом определены режимы доступа к информационным ресурсам и порядок их использования (рис.4.5).
| общедоступная информация | информация ограниченного доступа | ||
| государственная тайна | |||
| коммерческая тайна | |||
| служебная тайна | |||
| профессиональная тайна | |||
| персональные данные | |||
Рис.4.5. Правовые режимы доступа к информации.
Обладателем информации могут выступать как физические и юридические лица, так и субъекты РФ, муниципальные образования и Российская Федерация. Обладатель вправе самостоятельно разрешать или ограничивать доступ к своей информации. Запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну. Порядок доступа к сведениям персонального характера устанавливается ФЗ «О персональных данных». В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию.
Действующее законодательство (Уголовный кодекс РФ гл.28) предусматривается ответственность за преступления в сфере компьютерной информации и информационных систем:
· неправомерный доступ к компьютерной информации (ст.272);
· создание, использование и распространение вредоносных программ для ЭВМ (ст.273);
· нарушение правил эксплуатации ЭВМ, систем или сетей ЭВМ (ст.274).
За перечисленные деяния предусмотрена административная (отстранение от должности, штрафы) либо уголовная ответственность.
Уголовная ответственность предусмотрена также и за сбор и использование сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК), нарушение авторских и смежных прав (ст. 146 и 180 УК), административная – за нарушение порядка использования и распространения персональных данных (ст. 13.11 Кодекса об административных правонарушениях).
Вместе с тем, критики отмечают, что эффективное действие информационного законодательства сдерживается отсутствием сложившейся правоприменительной базы, медлительностью российской судебной системы, низкой правовой культурой, а в ряде случаев нарекания вызывает и расплывчатость самих требований закона.
Использование информационных технологий и средств защиты информации, регламентируется, кроме того, стандартами ФСТЭК (ГОСТы) и сертификатами ФСБ. Для государственных учреждений соблюдение этих стандартов обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ведущие российские компании-потребители сегодня склонны прислушиваться к требованиям государства, в том числе и в вопросах защиты своей информации. Указанные стандарты сейчас используются практически во всех крупных организациях, а также в средних и мелких, для которых политики информационной безопасности и системы защиты информации разрабатывались специализированным компаниям. Востребованы в России и международные стандарты безопасности (ISO 17799, 27001, 13335 и 15408), приняты их российские аналоги (ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2007, ГОСТ Р ИСО/МЭК ТО 13335-5-2006, ГОСТ Р ИСО/МЭК 15408-2002).
Кроме нормативных документов, регулирующих использование решений в области информационной безопасности, существуют отраслевые стандарты. В частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.
Российские компании, заинтересованные в повышении эффективности своей работы и снижении издержек, ориентируясь на мировой опыт, разрабатывают внутренние нормативы, регламентирующие организацию информационных процессов и обеспечение их безопасности. Польза от внутренних стандартов и регламентов безопасности наиболее очевидна в крупных и территориально-распределенных организациях.
Иерархия соблюдения нормативных правовых актов, стандартов и регламентов в области информационной безопасности организации приведена на рис. 4.6.
| Внутренние стандарты и регламенты безопасности организации | ||||||||||
| Отраслевые стандарты (например, стандарт ЦБ РФ СТО БР ИББС-1.0-2006) | ||||||||||
| Национальные стандарты средств защиты (ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ 34.311-95, ГОСТ Р 34.11-94) | ||||||||||
| Международные стандарты информационной безопасности и их российские аналоги | ||||||||||
| Требования "отраслевого" законодательства РФ (например, ФЗ "О банках и банковской деятельности") | ||||||||||
| Требования информационного законодательства РФ |
Рис.4.6. Иерархия стандартов и регламентов информационной безопасности организации.
Контрольные вопросы
1) Какие основные свойства информации должны обеспечиваться безопасной информационной автоматизированной системой? К чему приводит нарушение каждого из этих свойств?
2) Какие угрозы информационной безопасности являются опосредованными, а какие – прямыми?
3) Каковы основные этапы реализации атаки на компьютерную систему?
4) Каковы основные цели и направления защиты информации?
5) Какие группы методов используются для защиты информации?
6) Каковы особенности защиты информации на уровне прикладного программного обеспечения, операционных систем, сетевого программного обеспечения?
7) Какие операционные системы можно считать защищенными, а какие – нет?
8) Каковы типовые методы защиты целостности, конфиденциальности и доступности информации в компьютерных системах? Какие из них должны обеспечиваться защищенной операционной системой?
9) Что такое компьютерный вирус? Какие объекты компьютерной системы могут содержать компьютерные вирусы?
10) Как происходит заражение компьютерным вирусом? Файлы какого типа гарантированно не содержат компьютерных вирусов?
11) Каковы основные типы и принципы работы антивирусных программ?
12) Какие антивирусные программы способны обнаруживать вирусы в новых файлах (принесенных на дискете, компакт-диске, полученных по электронной почте)?
13) Какие антивирусные программы способны обнаружить или предотвратить заражение новым неизвестным вирусом?
14) Каковы основные направления правового регулирования в области информационных систем и защиты информации?
15) Какие правовые акты являются основополагающими в информационной сфере, в области информационной безопасности России, в области защиты государственной тайны?
16) Что является объектами правового регулирования в информационной сфере?
17) Каковы основные правовые режимы доступа к информации?
18) Какие действия рассматриваются законодательством РФ как компьютерные преступления?
19) Какие существуют стандарты информационной безопасности?
Тестовые задания
| 1. | Раскрытие (утечка) информации – это нарушение свойства ее … q целостности q конфиденциальности q доступности q аутентичности q неотрекаемости |
| 2. | Фальсификация информации – это нарушение свойства ее … q целостности q конфиденциальности q доступности q аутентичности q неотрекаемости |
| 3. | Блокирование информации происходит вследствие нарушения свойства ее … q целостности q конфиденциальности q доступности q аутентичности q неотрекаемости |
| 4. | Неизменность информации в синтаксическом и семантическом смыслах по отношению к ее исходному состоянию называется … q целостностью q конфиденциальностью q доступностью q аутентичностью q неотрекаемостью |
| 5. | Доступность конкретной информации только тому кругу лиц, для кого она предназначена, называется … q целостностью q конфиденциальностью q доступностью q аутентичностью q неотрекаемостью |
| 6. | Непосредственными угрозами АС являются угрозы … q отказа служб q раскрытия параметров АС q нарушения целостности q в пунктах 1-3 нет правильных ответов |
| 7. | Опосредованными угрозами АС являются угрозы … q нарушения конфиденциальности q раскрытия параметров АС q угроза нарушения целостности q в пунктах 1-3 нет правильных ответов |
| 8. | Для защиты конфиденциальности данных в АС не используются методы… q парольная защита q доступ в режиме «только чтение» q уничтожение остаточных данных q запрет копирования |
| 9. | Для защиты целостности данных в АС не используются методы … q скрытия информации q резервирования информации q уничтожения остаточных данных q разграничения доступа к данным |
| 10. | Для защиты конфиденциальности данных в АС не используются методы… q шифрование q разграничение доступа к данным q резервирование данных q скрытие информации |
| 11. | Документы MS Office поражаются … q макровирусами q троянскими программами q программными вирусами q загрузочными вирусами |
| 12. | Исполняемые (EXE, COM) и системные файлы поражаются … q троянскими программами q загрузочными вирусами q макровирусами q программными вирусами |
| 13. | Системные области дискет, жесткого диска поражаются … q программными вирусами q загрузочными вирусами q макровирусами q программами-агентами |
| 14. | Не поражаются компьютерными вирусами файлы с расширением (типа) … q DLL q XLS q DOC q SYS q TXT |
| 15. | Макровирусами поражаются файлы с расширением (типа) … q XLS q COM q DOC q BAT q SYS |
| 16. | Антивирусная программа, использующая антивирусные базы и проверяющая файлы, сектора и системные области дисков в поиске известных вирусов, называется … q сканером q ревизором диска q резидентным монитором q иммунизатором |
| 17. | Антивирусная программа, постоянно находящаяся в оперативной памяти компьютера и контролирующая операции с памятью и обращения к жесткому диску, называется … q ревизором диска q сканером q монитором q иммунизатором |
| 18. | Антивирусная программа, контролирующая изменения размеров и других атрибутов файлов и системных секторов диска (подсчет контрольных сумм), называется … q иммунизатором q монитором q ревизором диска q сканером |
| 19. | Антивирусная программа, модифицирующие файлы на диске или оперативную память компьютера таким образом, чтобы имитировать заражение системы, называется: q сканером q ревизором диска q монитором q иммунизатором |