Правовые основы деятельности по защите информации от несанкционированного доступа

 

Содержание

 

1. Введение 2

2. Защита информации на предприятии 3

3. К чему может привести утечка информации? 4

4. Защита от утечки информации и проведение политики информационной безопасности 4

5. Правовая защита информации 5

6. Правовое регулирование защиты информации в России 5

7. Создание правовых механизмов защиты информации 9

8. Правовая защита информации, информационных ресурсов и информационных систем от угроз несанкционированного и неправомерного воздействия посторонних лиц 12

9. Правовые основы деятельности по защите информации от несанкционированного доступа

9.1. О категориях информации 17

9.2. О режимах защиты информации 20

9.3. О категории "служебная тайна" 20

9.4. О некоторых вопросах организации защиты информации 21

9.5. О контроле состояния защиты конфиденциальной информации 22

10. Заключение 24

 

 

1. Введение

Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении  определенных сфер жизни и деятельности.На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими нормами являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.Наиболее полный перечень законов и кодексов представлен в разделе «Законы».

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Защита информации на предприятии

Правовой элемент системы организации  защиты информации на предприятии основывается на нормах информационного права  и предполагает юридическое закрепление  взаимоотношений фирмы и государства  по поводу правомерности использования  системы защиты информации, фирмы  и персонала по поводу обязанности  персонала соблюдать установленные  меры защитного характера, ответственности  персонала за нарушение порядка  защиты информации. Этот элемент включает:

— наличие в организационных  документах фирмы, правилах внутреннего  трудового распорядка, трудовых договорах, в должностных инструкциях положений  и обязательств по защите конфиденциальной информации;

— формулирование и доведение до сведения всех сотрудников положения  о правовой ответственности за разглашение  конфиденциальной информации, несанкционированное  уничтожение или фальсификацию  документов;

— разъяснение лицам, принимаемым  на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

В числе основных подсистем защиты информации в правовом плане можно  считать:

— установление на объекте режима конфиденциальности;

— разграничение доступа к информации;

— правовое обеспечение процесса защиты информации;

— четкое выделение конфиденциальной информации как основного объекта  защиты.

Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются  собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности.

К таким документам относятся:

Политика Информационной безопасности;

Положение о коммерческой тайне;

Положение о защите персональных данных;

Перечень сведений, составляющих конфиденциальную информацию;

Инструкция о порядке допуска  сотрудников к сведениям, составляющим конфиденциальную информацию;

Положение о специальном делопроизводстве и документообороте;

Обязательство сотрудника о сохранении конфиденциальной информации;

Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения  должны приниматься соответствующие  меры воздействия.

3. К чему может привести утечка информации?

 Информационная безопасность  для любой компании является  существенным конкурентным преимуществом.  С помощью такой информации  компания способна стабильно  получать приличную прибыль. С  другой стороны утечка информации  способна привести к краху  бизнеса. Утечки информации, благодаря  которым, конкурирующие компании  могут получить доступ к важной  информации, связанной с последними  разработками компании могут  привести к серьезным финансовым  и экономическим потерям. Вполне  объяснимо, что при таких обстоятельствах  компания в максимальной степени  должна обеспечить защиту информации  от утечки. Современные условия  рыночной экономики видоизменяют  сказанную века назад фразу. 

Защита информации - залог стабильного  функционирования бизнеса! 

4. Защита от утечки информации и проведение политики информационной безопасности 

 С помощью реализации совокупности  мер по защите информации от  ее утечки обеспечивается информационная  безопасность компании, то есть  состояние защищенности информационной  среды компании. Проведения комплекса  мероприятий по внедрению и  реализации способов недопущения  утечки информации является одной  из главных задач для любой  компании.  Эффективность способов  защиты информации от ее утечки  в первую очередь зависит от  заложенного в них фундамента, которым является политика информационной  безопасности.

 Политика информационной безопасности  – это комплекс фундаментальных  правил, которые устанавливаются  компанией и которые направлены  на управление и защиту информационных  ресурсов компании. Любая эффективная  система защиты информации базируется  на руководящих правилах. Благодаря  этому в компании создается  именно «система» защиты информации.  Уже на этапе подготовки политики  информационной безопасности определяется  совокупность мер защиты конфиденциальности  информации, а также направления  их использования. Кроме того, при подготовке политике информационной  безопасности определяются финансовые  затраты на организацию защиты  конфиденциальной информации. 

5. Правовая защита информации

 В основе реализации действий  по защите конфиденциальной информации  лежит совокупность мер правовой  защиты информации. Именно правовые  меры закладывают фундамент защиты  информации и регламентируют  применение организационных и  технических мер. Кроме того, правовая  защита информации обеспечивает  соответствие применяемых способов  защиты действующему законодательству. Следовательно, внедрение системы  защиты информации необходимо  начинать с разработки мер  правовой защиты.

6. Правовое регулирование защиты информации в России

Отличительной особенностью современности  является переход от индустриального  общества к информационному, в котором главным ресурсом становится информация. В этой связи информационная сфера, представляющая собой специфическую сферу деятельности субъектов общественной жизни, связанную с созданием, хранением, распространением, передачей, обработкой и использованием информации, является одной из важнейших составляющих не только России, но и современного общества любого развивающегося государства.

Проникая во все сферы деятельности общества и государства, информация приобретает конкретные политические, материальные и стоимостные выражения. С учетом усиления роли информации на современном этапе, правовое регулирование  общественных отношений, возникающих  в информационной сфере, является приоритетным направлением процесса нормотворчества  в Российской Федерации (РФ), целью  которого является обеспечение информационной безопасности государства.

Конституция РФ является основным источником права в области обеспечения  информационной безопасности в России.

Согласно Конституции РФ:

каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных  и иных сообщений (статья 23);

сбор, хранение, использование и  распространение информации о частной  жизни лица без его согласия не допускаются (статья 24);

каждый имеет право свободно искать, получать, передавать, производить  и распространять информацию любым  законным способом, перечень сведений, составляющих государственную тайну, определяется федеральным законом (статья 29);

каждый имеет право на достоверную  информацию о состоянии окружающей среды (статья 42).

Основоположным законодательным  актом в России, регулирующим отношения  в информационной сфере (в том  числе связанные с защитой  информации), является Федеральный  закон «Об информации, информатизации и защите информации», принятый в 1995 году.

Предметом регулирования данного  Закона являются общественные отношения, возникающие в трех взаимосвязанных  направлениях:

формирование и использование  информационных ресурсов;

создание и использование информационных технологий и средств их обеспечения;

защита информации, прав субъектов, участвующих в информационных процессах  и информатизации.

В Законе даны определения важнейших  терминов в информационной сфере. Согласно статье 2 Закона , информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

В Законе дан перечень сведений, которые  запрещено относить к информации с ограниченным доступом. Это, прежде всего законодательные и другие нормативные правовые акты, устанавливающие  правовой статус органов государственной  власти, органов местного самоуправления, организаций и общественных объединений; документы, содержащие информацию о  чрезвычайных ситуациях, экологическую, демографическую, санитарно-эпидемиологическую, метеорологическую и другую подобную информацию; документы, содержащие информацию о деятельности органов государственной  власти и органов местного самоуправления, об использовании бюджетных средств, о состоянии экономики и потребностях населения (за исключением сведений, отнесенных к государственной тайне).

В Законе также отражены вопросы, связанные  с порядком обращения с персональными  данными, сертификацией информационных систем, технологий, средств их обеспечения  и лицензированием деятельности по формированию и использованию  информационных ресурсов.

Глава 5 Закона «Защита информации и прав субъектов в области  информационных процессов и информатизации»  является «базовой» для российского  законодательства в области защиты информации.

Основными целями защиты информации являются:

предотвращение утечки, хищения, утраты, искажения и подделки информации (защите подлежит любая информация, в том числе и открытая);

предотвращение угроз безопасности личности, общества и государства (то есть защита информации является одним  из способов обеспечения информационной безопасности РФ);

защита конституционных прав граждан  на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной  информации в соответствии с законодательством.

Несмотря на то, что принятие Федерального закона «Об информации, информатизации и защите информации» является определенным «прорывом» в информационном законодательстве, данный Закон имеет ряд недостатков:

Закон распространяется только на документированную  информацию, то есть на уже полученную, объективированную и зафиксированную  на носителе.

ряд статей Закона имеет декларативный  характер и не находит практического  применения.

определения некоторых терминов, вводимых статьей 2 Закона, сформулированы недостаточно четко и однозначно.

Приоритетное место в системе  законодательства любого государства  занимает институт государственной  тайны. Причиной этого является величина ущерба, который может быть нанесен  государству в результате разглашения  сведений, составляющих государственную  тайну.

За последние годы законодательство в области защиты государственной  тайны развивалось в РФ достаточно динамично.

Правовой режим государственной  тайны установлен первым в истории  российского государства Законом  «О государственной тайне», который  вступил в действие 21 сентября 1993 года (новая редакция Закона Российской Федерации «О государственной тайне» была принята в 1997 году).

Указанный Закон является специальным  законодательным актом, регулирующим отношения, возникающие в связи  с отнесением сведений к государственной  тайне, их рассекречиванием и защитой.

Согласно Закону государственная  тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

К средствам защиты информации Законом  отнесены технические, криптографические, программные и другие средства, предназначенные  для защиты сведений, составляющих государственную тайну, средства, в  которых они реализованы, а также  средства контроля эффективности защиты информации.

С целью оптимизации видов информации, относящейся к конфиденциальной, Президент Российской Федерации  своим Указом от 6 марта 1997 года № 188 утвердил Перечень сведений конфиденциального  характера, в котором выделены шесть  основных категорий информации: