Основы информационной безопасности ОВД

Содержание

 

1. Необходимость, назначение и общее содержание организационно-правового обеспечения информационной безопасности 3

2. Методы и специальные технические средства, используемые в ходе поисковой операции в целях обеспечения защиты информации 13

Список использованной литературы 19

 

 

 

1. Необходимость, назначение и общее содержание организационно-правового обеспечения информационной безопасности

 

В настоящее время принято  говорить о новом витке в развитии общественной формации – информационном обществе. Информация становится сегодня главным ресурсом мирового сообщества. Практически любая деятельность человека тесно связана с получением, хранением, обработкой и использованием разнообразной информации. Современное общество широко пользуется благами компьютеризации и информатизации.

Владение информационными  ресурсами и рациональное их использование  создают условия оптимального управления обществом. И напротив, искажение  информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям.

Высокую опасность для  общества и дополнительные проблемы для правоохранительных органов  создают усиливающийся криминальный контроль над глобальными компьютерными  сетями, телекоммуникациями и использование  информационных технологий как для  скрытого получения информации, подготовки и осуществления неправомерных  действий в отношении организаций  и частных лиц, так и для  противодействия правоохранительным органам.

Несанкционированный доступ различных криминальных и ком-мерческих структур к служебной и конфиденциальной информации позволяет этим структурам, в частности, уклоняться от своих налоговых обязанностей, совершать иные правонарушения, противодействовать правоохранительным органам и органам исполнительной власти.

Следовательно, проблема организационно-правового обеспечения информационной безопасности имеет важное практическое значение для обеспечения безопасности всего мирового сообщества в целом и отдельной личности в частности.

Организационно-правовое обеспечение  информационной безопасности - это совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать следующие основные функции:

1) разработка основных  принципов отнесения сведений, имеющих  конфиденциальный характер, к защищаемой  информации;

2) определение системы  органов и должностных лиц,  ответственных за обеспечение  информационной безопасности в  стране и порядка регулирования  деятельности предприятий и организаций  в этой области; 

3) создание полного комплекса  нормативно-правовых руководящих  и методических материалов (документов), регламентирующих вопросы обеспечения  информационной безопасности как  в стране в целом, так и  на конкретном объекте; 

4) определение мер ответственности  за нарушение правил защиты;

5) определение порядка  разрешения спорных и конфликтных  ситуаций по вопросам защиты  информации.

Под юридическими аспектами  организационно-правового обеспечения  защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:

• обязательность соблюдения норм и правил защиты информации всеми лицами, имеющими отношение к защищаемой и конфиденциальной информации;
• нормативное правовое закрепление всех мер ответственности за нарушение порядка и правил защиты информации;
• придание юридической силы всем технико-математическим решениям в области организационно-правового обеспечения защиты информации;
• процессуальное оформление процедур разрешения ситуаций, складывающихся при обеспечении информационной безопасности и защите информации.

Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми актами.

Современные условия требуют  и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава  и содержания, соотнесения его  со всей системой законов и правовых актов РФ.

Существует следующая  структура правовых актов, ориентированных  на правовую защиту информации:

• Международные акты информационного законодательства;
• Конституция Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44);
• Специальное законодательство, содержащее нормы, целиком посвященные вопросам информации;
• Нормативно-правовые акты, которые включают отдельные информационно-правовые нормы.

Рассмотрим специальное законодательство в области информационной безопасности.

Основополагающим среди  российских актов следует считать Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"¹.

Закон приводит понятийный аппарат и механизмы регулирования в соответствие с практикой применения информационных технологий, определяет правовой статус различных категорий информации, закрепляет положения о регулировании создания и эксплуатации информационных систем, общие требования к использованию информационно-телекоммуникационных сетей, устанавливает принципы регулирования общественных отношений, связанных с использованием информации.

Установлены основные правила  и способы защиты прав на информацию, защиты самой информации путем принятия основных правовых, организационных  и технических (программно-технических) мер по ее защите.

Закон РФ от 21.07.1993 N 5485-1 "О  государственной тайне"² регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ.

Положения Закона обязательны  для исполнения на территории РФ и  за ее пределами органами представительной, исполнительной и судебной властей, МСУ, предприятиями, учреждениями и  организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять  требования законодательства РФ о государственной  тайне.

Под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной  и оперативно-розыскной деятель-ности, распространение которых может нанести ущерб безопасности РФ.

За обеспечением защиты государственной  тайны предусмотрены парламентский, межведомственный и ведомственный  контроль, а также прокурорский надзор.

Федеральный закон от 28.12.2010 N 390-ФЗ "О безопасности"³ закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет полномочия и функции федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в области безопасности, а также статус Совета Безопасности Российской Федерации.

Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне"⁴ регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности и предупреждением недобросовестной конкуренции.

Под коммерческой тайной понимается конфиденциальность информации, позволяющая  ее обладателю при существующих или  возможных обстоятельствах увеличить  доходы, избежать неоправданных расходов, сохранить положение на рынке  товаров, работ, услуг или получить иную коммерческую выгоду.

Законом определяются права  обладателя коммерческой тайны, регулируются отношения, связанные с коммерческой тайной, полученной при выполнении государственного контракта для  государственных нужд. Также устанавливаются  требования к охране конфиденциальности информации, составляющей коммерческую тайну, в том числе при трудовых отношениях и в гражданско-правовых отношениях.

Предусматривается ответственность  за нарушение законодательства РФ о  коммерческой тайне.

Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) "Об электронной  цифровой подписи"⁵ определяет правовые условия использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи в документе на бумажном носителе. Под электронной цифровой подписью (далее - ЭЦП) понимается реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Устанавливаются условия использования ЭЦП, определяется статус удостоверяющих центров, выдающих сертификаты ключей подписей, а также некоторые особенности использования ЭЦП.

Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ⁶ содержит нормы относительно преступлений в сфере компьютерной информации (ст. 272, 273, 274).

Статья 272 УК РФ посвящена неправомерному доступу к компьютерной информации. Статья 273 УК РФ регулирует отношения в сфере создания, использования и распространения вредоносных компьютерных программ. Статья 274 УК РФ предусматривает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роля для банковской и коммерческой тайны играет статья 183 УК РФ.

Кроме перечисленных нормативно-правовых актов существуют и другие, содержащие нормы о защите информации. В частности, Гражданский кодек Российской Федерации⁷ регулирует отношения, связанные с интеллектуальной собственностью; Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ⁸ содержит нормы, посвященные защите персональных данных работника⁹.

Перейдем к рассмотрению организационной составляющей организационно-правового обеспечения защиты информации.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.

Организационная защита обеспечивает:

− организацию охраны, режима, работу с кадрами, с документами;

− использование технических  средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз безопасности.

Организационные мероприятия  играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

К основным организационным  мероприятиям можно отнести:

− организацию режима и  охраны. Их цель - исключение возможности  тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

− создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

− контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

− организация и поддержание  надежного пропускного режима и контроля сотрудников и посетителей и др.;

− организацию работы с  сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

− организацию работы с  документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

− организацию использования  технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

− организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

− организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.