Правовая защита информации и программного обеспечения

2. Правовая защита информации

Как
известно, право
— это совокупность общеобя­зательных
правил и норм поведения, установленных
или санкционированных государством в
отношении определенных сфер жизни и
деятельности государ­ственных
органов, предприятий (организаций) и
на­селения (отдельной личности).

Правовая
защита информации как ресурса при­знана
на международном, государственном
уровне и определяется межгосударственными
договорами, кон­венциями, декларациями
и реализуется патентами, ав­торским
правом и лицензиями на их защиту. На
госу­дарственном уровне правовая
защита регулируется государственными
и ведомственными актами (рис. 2.3).

В
нашей стране такими правилами (актами,
нор­мами) являются Конституция, законы
Российской Фе­дерации, гражданское,
административное, уголовное право,
изложенные в соответствующих кодексах.
Что касается ведомственных нормативных
актов, то они оп­ределяются приказами,
руководствами, положениями и инструкциями,
издаваемыми ведомствами, органи­зациями
и предприятиями, действующими в рамках
оп­ределенных структур (рис. 2.4).

Современные
условия требуют и определяют не­обходимость
комплексного подхода к формированию
законодательства по защите информации,
его состава и содержания, соотнесения
его со всей системой за­конов и
правовых актов Российской Федерации.

Требования
информационной безопасности дол­жны
органически включаться во все уровни
законо­дательства, в том числе и в
конституционное зако­нодательство,
основные общие законы, законы по
организации государственной системы
управления, специальные законы,
ведомственные правовые акты и другие.
В литературе приводится такая структура
правовых актов, ориентированных на
правовую защи­ту информации.

Первый
блок — конституционное
законодатель­ство.
Нормы, касающиеся вопросов информатизации
и защиты информации, входят в него как
составные элементы.

Второй
блок — общие
законы, кодексы
(о собствен­ности, о недрах, о земле,
о правах граждан, о граждан­стве, о
налогах, об антимонопольной деятельности),
которые включают нормы по вопросам
информатиза­ции и информационной
безопасности.

Третий
блок — законы
об организации управле­ния,
касающиеся отдельных структур хозяйства,
эко­номики, системы государственных
органов и опреде­ляющие их статус.
Они включают отдельные нормы по вопросам
защиты информации. Наряду с общими
вопросами информационного обеспечения
и защиты информации конкретного органа
эти нормы должны устанавливать его
обязанности по формированию, ак­туализации
и безопасности информации, представля­ющей
общегосударственный интерес.

Четвертый
блок — специальные
законы,
полнос­тью относящиеся к конкретным
сферам отношений, отраслям хозяйства,
процессам. В их число входит и Закон РФ
«Об
информации, информационных технологиях
и о защи­те информации».
Именно состав и содержание этого блока
законов и создает специальное
законодательство как основу правового
обеспечения информационной безопасности.

Пятый
блок — законодательство
субъектов Россий­ской Федерации,
касающееся защиты информации.

Шестой
блок — подзаконные
нормативные акты по защите информации.

Седьмой
блок — это правоохранительное
законо­дательство России,
содержащее нормы об ответствен­ности
за правонарушения в сфере информатизации.
Специальное законодательство в области
безопас­ности информационной
деятельности может быть представлено
совокупностью законов. В их составе
особое место принадлежит базовому
Закону «Об
информации, информационных технологиях
и о защи­те информации»,
который закладывает основы правового
определения всех важнейших компонентов
информационной дея­тельности:

  1. информации
    и информационных систем;

  2. субъектов
    — участников информационных про­цессов;

  3. правоотношений
    производителей — потребителей
    информационной продукции;

  4. владельцев
    (обладателей, источников) информа­ции
    — обработчиков и потребителей на
    основе отношений собственности при
    обеспечении гаран­тий интересов
    граждан и государства.

Этот
закон определяет основы защиты
информа­ции в системах обработки и
при ее использовании с учетом категорий
доступа к открытой информации и к
информации с ограниченным доступом.
Этот закон содержит, кроме того, общие
нормы по организации и ведению
информационных систем, включая банки
дан­ных государственного назначения,
порядка государ­ственной регистрации,
лицензирования, сертификации, экспертизы,
а также общие принципы защиты и гаран­тий
прав участников информационного
процесса.

В
дополнение к базовому закону в мае 1992
г. были приняты Законы «О
правовой охране программ для
электронно-вычислительных машин и баз
данных»
и «О
правовой охране топологии интегральных
микро­схем».
Оба закона устанавливают охрану
соответству­ющих объектов с помощью
норм авторского права, включая в перечень
объектов авторского права наря­ду с
традиционными базами данных топологии
интег­ральных микросхем и программы
для ЭВМ.

Вопросы
правового режима информации с
огра­ниченным доступом реализуются
в двух самостоятель­ных законах о
государственной
и коммерческой
тайнах.
Кроме того, этот аспект раскрывается
и в Гражданском кодексе РФ статьей 139
«Служебная
и коммерческая тайна».

1.
Информация составляет служебную или
коммер­ческую тайну в случае, когда
информация имеет действительную или
потенциальную коммерчес­кую ценность
в силу неизвестности ее третьим лицам,
к ней нет свободного доступа на законном
основании и обладатель информации
принимает меры к охране ее конфиденциальности.
Сведения, которые не могут составлять
служебную или ком­мерческую тайну,
определяются законом и иными правовыми
актами.

2.
Информация, составляющая служебную
или ком­мерческую тайну, защищается
способами, предус­мотренными настоящим
кодексом и другими зако­нами.

«Лица,
незаконными методами получившие
инфор­мацию, которая составляет
служебную или коммерчес­кую тайну,
обязаны возместить причиненные убытки.
Такая же обязанность возлагается на
работников, раз­гласивших служебную
или коммерческую тайну воп­реки
трудовому договору, в том числе контракту,
и на контрагентов, сделавших это вопреки
гражданско-правовому договору».

Указ
Президента РФ от 6 марта 1997 г. № 188
оп­ределяет понятие и содержание
конфиденциальной информации (см. таблицу
1).

Таким
образом, правовая защита информации
обеспечивается нормативно-законодательными
акта­ми, представляющими собой по
уровню иерархичес­кую систему от
Конституции РФ до функциональных
обязанностей и контракта отдельного
конкретного ис­полнителя, определяющих
перечень сведений, подле­жащих охране,
и меры ответственности за их разгла­шение.

Одним
из новых для нас направлений правовой
защиты является страховое обеспечение.
Оно пред­назначено для защиты
собственника информации и средств ее
обработки как от традиционных угроз
(кра­жи, стихийные бедствия), так и от
угроз, возникающих в ходе работы с
информацией. К ним относятся: раз­глашение,
утечка и несанкционированный доступ
к конфиденциальной информации.

Целью
страхования является
обеспечение страхо­вой защиты
физических и юридических лиц от
стра­ховых рисков в виде полного или
частичного возме­щения ущерба и
потерь, причиненных стихийными
бедствиями, чрезвычайными происшествиями
в раз­личных областях деятельности,
противоправными дей­ствиями со
стороны конкурентов и злоумышленников
путем выплат денежной компенсации или
оказания сервисных услуг (ремонт,
восстановление) при наступ­лении
страхового события.

В
основе российского страхового
законодательства лежит Закон РФ «О
страховании».
Он призван гаран­тировать защиту
интересов страхователей, определять
единые положения по организации
страхования и принципы государственного
регулирования страховой деятельности.

Закон
«О страховании» дает следующее понятие
страхования: «Страхование представляет
собой отно­шения по защите имущественных
интересов физичес­ких и юридических
лиц при наступлении определен­ных
событий (страховых случаев) за счет
денежных фондов, формируемых из
уплачиваемых ими страхо­вых взносов».

Правовая защита информации и программного обеспечения

1.
ГОСТ 29339-92 «Информационная технология.
За­щита информации от утечки за счет
ПЭМИН при ее обработке СВТ». (ПЭМИН —
побочные элект­ромагнитные излучения
и наводки).

2.
ГОСТ Р 50752 «Информационная технология.
За­щита информации от утечки за счет
ПЭМИН при ее обработке средствами
вычислительной техни­ки. Методы
испытаний».

3.
Нормы эффективности и защиты АСУ и ЭВМ
от утечки информации за счет ПЭМИН.

4.
Специальные требования и рекомендации
по за­щите объектов ЭВТ II
и III
категории от утечки ин­формации за
счет ПЭМИН.

Действия
по защите информации от несанкциони­рованного
доступа (НСД) регламентируют Постанов­ление
Правительства РФ от 15.09.93 № 912-51 «Поло­жение
о государственной системе защиты
информа­ции от иностранной технической
разведки и от утечки по техническим
каналам», а также Указы Президента РФ
«О создании государственной технической
комис­сии при Президенте РФ» (от
05.01.92 № 9);

«О защите
информационно-телекоммуникационных
систем и баз данных от утечки
конфиденциальной информации по
техническим каналам связи» (от 08.05.93 №
644); «О ме­рах по соблюдению законности
в области разработки, производства,
реализации и эксплуатации шифроваль­ных
средств, а также предоставления услуг
в области шифрования информации» (от
03.04.95 № 334); «Поло­жение о государственной
системе защиты информа­ции в Российской
Федерации».

3. Коммерческая тайна

Направления
обеспечения информацион­ной безопасности
— это нормативно-пра­вовые категории,
ориентированные на обеспечение
комплексной защиты инфор­мации от
внутренних и внешних угроз.

Направления
обеспечения безопасности вообще
рассматриваются как нормативно-правовые
катего­рии, определяющие комплексные
меры защиты ин­формации на государственном
уровне, на уровне предприятия и
организации, на уровне отдельной
личности.

правовая
защита
— это специальные законы, дру­гие
нормативные акты, правила, процедуры и
мероприятия, обеспечивающие защиту
информа­ции на правовой основе;

организационная
защита
— это регламентация производственной
деятельности и взаимоотноше­ний
исполнителей на нормативно-правовой
осно­ве, исключающая или ослабляющая
нанесение ка­кого-либо ущерба
исполнителям;

инженерно-техническая
защита
— это использо­вание различных
технических средств, препят­ствующих
нанесению ущерба коммерческой деятельности
(рис. 2.1).

Кроме
этого, защитные действия, ориентирован­ные
на обеспечение информационной
безопасности, могут быть охарактеризованы
целым рядом парамет­ров, отражающих,
помимо направлений, ориентацию на
объекты защиты, характер угроз, способы
дей­ствий, их распространенность,
охват и масштабность (рис. 2.2).

Так,
по характеру угроз защитные действия
ори­ентированы на защиту информации
от разглашения, утечки и несанкционированного
доступа. По способам действий их можно
подразделить на предупреждение,
выявление, обнаружение, пресечение и
восстановле­ние ущерба или иных
убытков. По охвату защитные действия
могут быть ориентированы на территорию,
здание, помещение, аппаратуру или
отдельные элемен­ты аппаратуры.

Масштабность
защитных мероприятий характеризуется
как объектовая, групповая или
инди­видуальная защита. Например,
защита автономной ПЭВМ в режиме
индивидуального пользования.

Правовая защита информации и программного обеспечения

• предельный,
после которого фирма может стать
банкротом;

• значительный,
но не приводящий к банкротству;

• незначительный,
который фирма за какое-то вре­мя может
компенсировать.

• весьма
вероятная угроза;

• вероятная
угроза;

• маловероятная
угроза,

• стихийные
бедствия;

• преднамеренные
действия.

• материальный;

• моральный;

• активные;

• пассивные.

• внутренние;

• внешние.

• недобросовестные
конкуренты;

• преступные
группировки и формирования;

• отдельные
лица и организации административно-управленческого
аппарата.

Правовая защита информации и программного обеспечения

• администрация
предприятия;

• персонал;

•технические
средства обеспечения производствен­ной
и трудовой деятельности.

• 82%
угроз совершается собственными
сотрудни­ками фирмы при их прямом или
опосредованном участии;

• 17%
угроз совершается извне — внешние
угрозы;

• 1%
угроз совершается случайными лицами.

Угроза

это потенциальные
или реальные действия, приводящие к
моральному или ма­териальному ущербу.

4. Действия, приводящие к неправомерному овладению конфиденциальной информацией

Отношение
объекта (фирма, организация) и субъек­та
(конкурент, злоумышленник) в информационном
процессе с противоположными интересами
можно рассматривать с позиции активности
в действиях, при­водящих к овладению
конфиденциальными сведения­ми. В этом
случае возможны такие ситуации:

  1. владелец
    (источник) не принимает никаких мер к
    сохранению конфиденциальной информации,
    что позволяет злоумышленнику легко
    получить инте­ресующие его сведения;

  2. источник
    информации строго соблюдает меры
    ин­формационной безопасности, тогда
    злоумышленни­ку приходится прилагать
    значительные усилия к осуществлению
    доступа к охраняемым сведениям, используя
    для этого всю совокупность способов
    не­санкционированного проникновения:
    легальное или нелегальное, заходовое
    или беззаходовое;

  3. промежуточная
    ситуация — это утечка информа­ции
    по техническим каналам, при которой
    источ­ник еще не знает об этом (иначе
    он принял бы меры защиты), а злоумышленник
    легко, без особых уси­лий может их
    использовать в своих интересах.

В
общем, факт
получения охраняемых сведений
зло­умышленниками или конкурентами
называют утечкой. Однако
одновременно с этим в значительной
части за­конодательных актов, законов,
кодексов, официальных материалов
используются и такие понятия, как
разгла­шение сведений и несанкционированный
доступ к кон­фиденциальной информации
(рис. 1.7).

Разглашение—
это умышленные или неосторожные действия
с конфиденциальными сведениями, приведшие
к ознакомлению с ними лиц, не допущенных
к ним.

обмен официальными
деловыми и научными документами
средствами передачи официальной
информации (почта, телефон, телеграф и
т. д.). Неформальные
коммуникации
включают личное общение (встречи,
переписка), выставки, семинары, конференции
и другие массовые мероприятия, а также
средства массовой информации (печать,
газе­ты, интервью, радио, телевидение).

Как правило, при­чиной
разглашения
конфиденциальной информации является
недостаточное
знание сотрудниками правил защиты
коммерческих секретов и непонимание
(или недопонимание) необходимости
их тщательного соблю­дения.
Тут важно отметить, что субъектом в этом
про­цессе выступает источник (владелец)
охраняемых сек­ретов.

Следует
отметить информационные особенности
этого действия. Информация содержательная,
осмыс­ленная, упорядоченная,
аргументированная, объемная и доводится
зачастую в реальном масштабе времени.
Часто имеется возможность диалога.
Информация ори­ентирована в определенной
тематической области и документирована.

Правовая защита информации и программного обеспечения

Утечка
— это бесконтрольный выход конфиден­циальной
информации за пределы организации или
круга лиц, которым она была доверена.

световые
лучи, звуковые волны, электромагнитные
волны, ма­териалы и вещества.
Соответственно этому класси­фицируются
и каналы утечки информации
на визу­ально-оптические, акустические,
электромагнитные и материально-вещественные.
Под
каналом утечки ин­формации принято
понимать физический путь от источника
конфиденциальной информации к
зло­умышленнику, посредством которого
последний мо­жет получить доступ к
охраняемым сведениям.

Несанкционированный
доступ — это противо­правное
преднамеренное овладение конфиденциаль­ной
информацией лицом, не имеющим права
доступа к охраняемым секретам.

Несанкционированный
доступ к источникам кон­фиденциальной
информации реализуется различны­ми
способами: от инициативного сотрудничества,
выражающегося в активном стремлении
«продать» секреты, до использования
различных средств проник­новения к
коммерческим секретам. Для реализации
этих действий злоумышленнику приходится
часто про­никать на объект или создавать
вблизи него специаль­ные посты контроля
и наблюдения — стационарных или в
подвижном варианте, оборудованных
самыми со­временными техническими
средствами.

Если
исходить из комплексного подхода к
обеспе­чению информационной
безопасности, то такое деле­ние
ориентирует на защиту информации как
от раз­глашения, так и от утечки по
техническим каналам и от несанкционированного
доступа к ней со стороны конкурентов и
злоумышленников.

Такой
подход к классификации действий,
способ­ствующих неправомерному
овладению конфиденци­альной информацией,
показывает многогранность угроз и
многоаспектность защитных мероприятий,
не­обходимых для обеспечения комплексной
информаци­онной безопасности.

• разглашение
(излишняя болтливость сотрудни­ков)
— 32%;

• несанкционированный
доступ путем подкупа и склонения к
сотрудничеству со стороны конкурен­тов
и преступных группировок — 24%;

•отсутствие
на фирме надлежащего контроля и жестких
условий обеспечения информационной
безопасности — 14%;

• традиционный
обмен производственным опы­том —
12%;

• бесконтрольное
использование информационных систем
— 10%;

• наличие
предпосылок возникновения среди
со­трудников конфликтных ситуаций —
8%;

а
также отсутствие высокой трудовой
дисциплины, психологическая несовместимость,
случайный подбор кадров, слабая работа
службы кадров по сплочению коллектива.

• экономическое
подавление, выражающееся в сры­ве
сделок и иных соглашений (48%), парализация
деятельности фирмы (31%), компрометации
фир­мы (11%), шантаж руководителей фирмы
(10%);

• физическое
подавление: ограбления и разбойные
нападения на офисы, склады, грузы (73%),
угрозы физической расправы над
руководителями фир­мы и ведущими
специалистами (22%), убийства и захват
заложников (5%);

• информационное
воздействие: подкуп сотрудни­ков
(43%), копирование информации (24%),
про­никновение в базы данных (18%),
продажа кон­фиденциальных документов
(10%), подслушивание телефонных переговоров
и переговоров в помещениях (5%), а также
ограничение доступа к ин­формации,
дезинформация;

• финансовое
подавление включает такие понятия, как
инфляция, бюджетный дефицит, коррупция,
хищение финансов, мошенничество;

• психическое
давление может выражаться в виде
хулиганских выходок, угрозы и шантажа,
энерго­информационного воздействия.

Основными
угрозами
информации являются ее разглашение,
утечка и несанкционирован­ный доступ
к ее источникам.

Каждому
из условий неправомерного овладения
конфиденциальной информацией можно
поставить в соответствие определенные
каналы, определенные способы защитных
действий и определенные классы средств
защиты или противодействия. Совокупность
определений, каналов, способов и средств
представ­ляется в виде следующей
схемы (рис. 1.8).

Выводы

1.
Информация — это ресурс. Потеря
конфиденци­альной информации приносит
моральный или материальный ущерб.

2.
Условия, способствующие неправомерному
овла­дению конфиденциальной информацией,
сводят­ся к ее разглашению, утечке и
несанкционирован­ному доступу к ее
источникам.

3.
В современных условиях безопасность
информа­ционных ресурсов может быть
обеспечена только комплексной системой
защиты информации.

4.
Комплексная система защиты информации
долж­на быть: непрерывной, плановой,
целенаправлен­ной, конкретной,
активной, надежной.

5.
Система защиты информации должна
опираться на систему видов собственного
обеспечения, спо­собного реализовать
ее функционирование не только в
повседневных условиях, но и в критичес­ких
ситуациях.

Лекция
2. Направления обеспечения информационной
безопасности

Понравилась статья? Поделиться с друзьями:
WizardMag.ru