Нормативно-правовые аспекты защиты информации

• установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
• разработка нормативной правовой базы и координация деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Законодательство России в области информатизации начало формироваться с 1991 года.

Основополагающим понятием в области правового обеспечения является информация.

Закон РФ “Об информации, информатизации и защите информации” определяет понятие информация как “сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления”.

При решении организационно-правовых вопросов обеспечения информационной безопасности исходят из того, что информация подпадает под нормы вещного права, что дает возможность применять к информации нормы Уголовного и Гражданского права в полном объеме.

Впервые в правовой практике России информация как объект права была определена в ст. 128, ч. 1, принятого в ноябре 1994 г. ГК РФ, где говориться: “К объектам гражданских прав относятся …информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность)…”. Данная статья дает возможность квалифицировать посягательства на сохранность и целостность информации, как преступления против собственности.

Этим же Законом определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст.4.1,ст.6.1.). При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним (ст.6.7).

В существующей практике можно выделить следующие основные аспекты решения проблемы защиты информации:

• анализ правового обеспечения;
• реализация организационно-правовых мероприятий защиты;
• реализация технических мероприятий по защите информации.

Комплексное изучение установленных норм и правил в конкретной прикладной области всегда является обязательным элементом культуры работающего в этой области специалиста.

Анализ правового обеспечения планируемых к осуществлению мероприятий в области организации защиты информации всегда должен предшествовать принятию окончательного решения о реализации этих мероприятий.

К организационно-правовым мероприятиям по защите конфиденциальной информации относятся мероприятия по разработке и принятию определенных документов предприятий и организаций, регламентирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информационным ресурсам.

Организационно-правовая защита информации реализуется путем установления на предприятии режима конфиденциальности. Можно выделить три формы конфиденциальных отношений:

• Между сотрудником предприятия и самим предприятием как юридическим лицом. Реализуется на практике путем составления соответствующего трудового договора или контракта, заключаемого с сотрудником предприятия.
• Складывающиеся между конкретным сотрудником и другими сотрудниками этого предприятия. Эти отношения развиваются как по вертикали, так и по горизонтали. Указанные отношения называются конфиденциальными отношениями по служебным функциям. Юридически эти отношения закрепляются многообразными административно-правовыми решениями, например приказами о выполнении определенных работ, и регламентируются “Должностными инструкциями”.
• Складывающиеся в рамках хоздоговорных работ и базирующиеся на договоре между партнерами. Юридически конфиденциальные отношения закрепляется в виде четко сформулированных требований и обязательств, которые выдвигают договаривающиеся стороны, и фиксируют в договоре.

В вопросах реализации технических мероприятий обеспечения информационной безопасности с точки зрения правового обеспечения основное внимание следует уделять выполнению требований лицензирования исполнителей работ и использования сертифицированных средств защиты, а также действующим ограничениям на применение специальных технических средств.

Основными проблемы правового обеспечения информационной безопасности являются:

Защита прав на получение информации - предполагает обеспечение условий, препятствующих преднамеренному сокрытию или искажению информации при отсутствии для этого законных оснований. В соответствии со ст.29 Конституции РФ, “Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом”.

Предотвращение разглашения государственной тайны и нарушений прав граждан и организаций на сохранность конфиденциальности и секретности информации

Принятый в 1993г. закон “О государственной тайне” регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности РФ. Данный Закон определяет понятие “государственная тайна” как “защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации”.

Ст.23 Конституции РФ провозглашает права граждан на “неприкосновенность частной жизни, личную и семейную тайну”.

Российским законодательством используется понятие “коммерческая тайна”, определение которого приведено в ст.139, п.1 Гражданского кодекса (ГК) РФ: “Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности” (ГК).

Обеспечение защищенности от внешних и внутренних угроз в сфере формирования, распространения и использования информационных ресурсов

Данное направление предполагает реализацию мер защиты носителей информационных ресурсов (документов, программного обеспечения, данных в компьютерных системах и сетях, речевой информации и т.д.) от покушений на них как со стороны собственного персонала, так и со стороны посторонних лиц.

Нормативно-правовые акты в области информационной безопасности в РФ

1. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
2. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)
3. Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (с изменениями от 8 ноября 2007 г.)
4. Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями от 2 февраля, 18 декабря 2006 г., 24 июля 2007 г.)
5. Доктрина информационной безопасности Российской Федерации  
   (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895)
6. Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
7. Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации"

 

 

 

 

2. Программно-аппаратные методы и средства обеспечения информационной безопасности

 

1. Программно-аппаратные средства защиты информации

 

Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование. Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.

Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.

Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.

Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы: 
  - внешние события, вызванные действиями других сервисов; 
  - внутренние события, вызванные действиями самого сервиса; 
  - клиентские события, вызванные действиями пользователей и администраторов.

Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.

Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд- мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду.

Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты.

При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки.

Ключом называется число, используемое криптографическим алгоритмом для шифрования текста.

В криптографии используется два метода шифрования - симметричное    и асимметричное.

При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей.

Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку.

Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровки. Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

Проведенный в данной работе анализ обеспечения информационной безопасности Российской Федерации позволяет сделать вывод, что именно это направление государственной политики России является на сегодняшний момент одним из приоритетных элементов внешнеполитической стратегии российского государства. Поскольку эффективность информационной безопасности в значительной степени определяет  место и роль любого государства в мировой политике, то правительство России начало уделять особое внимание реализации этой задачи в первой половине 2000-х годов. В этот период российская внешняя политика претерпела наиболее значимые изменения, вызванные постепенным преобразованием постсоветского пространства под усиливающимся контролем других влиятельных субъектов международных отношений.