Лекции по "Информационной безопасности"

Информационная безопасность. Лекция 2-3.

Законодательный уровень 

обеспечения информационной безопасности

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

На законодательном уровне можно выделить две группы мер:

• меры ограничительной направленности - меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности;
• меры созидательной направленности - направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

На практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознанного  соблюдения норм и правил ИБ. Это  важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений.

Статья 23 Конституции гарантирует право на личную и семейную тайну, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

Глава 28 Уголовного кодекса Российской Федерации

Весьма продвинутым  в плане информационной безопасности является Уголовный кодекс Российской Федерации. Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информации;
• статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Статья 272. Неправомерный  доступ к компьютерной информации

 

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере  до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо лишением свободы на срок до 2 лет.

2. То же деяние, совершенное группой лиц по  предварительному сговору или  организованной группой либо  лицом с использованием своего  служебного положения, а равно  имеющим доступ к ЭВМ, системе  ЭВМ или их сети, -

наказывается штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо исправительными работами на срок от 1 года до 2 лет, либо арестом на срок от 3 до 6 месяцев, либо лишением свободы на срок до 5 лет.

 

Статья 273. Создание, использование и распространение  вредоносных программ для ЭВМ

 

1. Создание программ для ЭВМ  или внесение изменений в существующие  программы, заведомо приводящих  к несанкционированному уничтожению,  блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -

наказываются лишением свободы на срок до 3 лет со штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

2. Те же деяния, повлекшие по неосторожности  тяжкие последствия, -

наказываются лишением свободы на срок от 3 до 7 лет.

 

Статья 274. Нарушение  правил эксплуатации ЭВМ, системы ЭВМ или их сети

 

1. Нарушение правил эксплуатации  ЭВМ, системы ЭВМ или их сети  лицом, имеющим доступ к ЭВМ,  системе ЭВМ или их сети, повлекшее  уничтожение, блокирование или  модификацию охраняемой законом  информации ЭВМ, если это деяние причинило существенный вред, -

наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными работами на срок от 180 до 240 часов, либо ограничением свободы на срок до 2 лет.

2. То же деяние, повлекшее по  неосторожности тяжкие последствия, -

наказывается лишением свободы  на срок до 4 лет.

 

 

 

Закон «О государственной  тайне» от 21 июля 1993 года N 5486-1.

 

Интересы государства  в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне». В нем государственная тайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Закон устанавливает три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

 

К органам защиты государственной  тайны относятся межведомственная комиссия по защите государственной тайны,  другие уполномоченные органы федеральной исполнительной власти.

 

Статья 283 УК РФ. Разглашение государственной тайны.

 

1. Разглашение сведений, составляющих государственную тайну,  лицом, которому она была доверена  или стала известна по службе  или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены -

наказывается арестом  на срок от четырех до шести месяцев  либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

2. То же деяние, повлекшее по неосторожности  тяжкие последствия, -

наказывается лишением свободы на срок от 3 до 7 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

 

Статья 284 УК РФ. Утрата документов, содержащих государственную тайну.

 

 

Закон «О коммерческой тайне» №98-ФЗ от 2004 года.

 

Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну (секрет производства) - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня  и состава такой информации принадлежит  обладателю такой информации с учетом положений настоящего Федерального закона.

В статье 10 «Охрана конфиденциальности информации» говорится, что меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

1) определение перечня  информации, составляющей коммерческую  тайну;

2) ограничение доступа  к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших  доступ к информации, составляющей  коммерческую тайну, и (или)  лиц, которым такая информация  была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные  носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

 

Режим коммерческой тайны  считается установленным после  принятия обладателем информации, составляющей коммерческую тайну, мер, указанных  выше.

 

  В статье 11 говорится, что в целях охраны конфиденциальности информации работодатель обязан:

1) ознакомить под расписку  работника, доступ которого к  информации, составляющей коммерческую  тайну, необходим для выполнения  им своих трудовых обязанностей, с перечнем информации, составляющей  коммерческую тайну, обладателями которой является работодатель и его контрагенты;

2) ознакомить под расписку  работника с установленным работодателем  режимом коммерческой тайны и  с мерами ответственности за его нарушение.

 

Статья 183 УК РФ. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

 

1. Собирание сведений, составляющих  коммерческую, налоговую или банковскую  тайну, путем похищения документов, подкупа или угроз, а равно  иным незаконным способом -

наказывается штрафом в размере до 80 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до 2 лет.

2. Незаконные разглашение или  использование сведений, составляющих  коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -

наказываются штрафом в размере  до 120 000 рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до 3 лет.

3. Те же деяния, причинившие крупный  ущерб или совершенные из корыстной  заинтересованности, -

наказываются штрафом в размере  до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до 5 лет.

4. Деяния, предусмотренные частями  второй или третьей настоящей  статьи, повлекшие тяжкие последствия, -

наказываются лишением свободы  на срок до 10 лет.

 

Закон “О персональных данных” №152-ФЗ от 2006 года

 

Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2).