Правовая защита информационной безопасности

Правовая защита информационной безопасности

Темы 3-4: Правовые основы обеспечения информационной безопасности. Государственная система защиты информации

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

  • конституционные права и свободы граждан, предприятий и организаций в
    сфере информатизации;
  • необходимый уровень безопасности информации, подлежащей защите;
  • защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.

Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают:

  • Законы Российской Федерации
  • Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
  • Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.)
  • Государственные и отраслевые стандарты

Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).

Федеральные законы и другие нормативные акты предусматривают:

  • разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:
    • отнесенную к государственной тайне
    • отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн)
    • и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;
  • правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:
  • в отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основании Закона Российской Федерации «О государственной тайне» (от 21.07.93 г. N 5485-1);
  • в отношении конфиденциальной документированной информации -собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации «Об информации, информатизации и защите информации» (от 20.02.95 г. N 24-ФЗ);
  • в отношении персональных данных — отдельным федеральным законом;
  • лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
  • аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
  • сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;
  • возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
  • создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
  • определение прав и обязанностей субъектов в области защиты информации.

Государственная система защиты информации

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в «Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами «Об информации, информатизации и защите информации» и «О государственной тайне» комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

• принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

• общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

• контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

В соответствии с Указом Президента Российской Федерации № 212 от 19,02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган — Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

Согласно Постановлению Правительства РФ от 12.09.93 г. №912-51 Гостехкомиссия России возглавляет Государственную систему защиты информации.

Рис. 1.3.1. Структура государственной системы защиты информации РФ

В соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации», к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

• осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

• осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ «Об органах Федеральной службы безопасности в Российской Федерации» к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

• участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

• осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

• осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

Лицензирование

Законодательство Российской Федерации предусматривает установление Правительством РФ порядка ведения лицензионной деятельности, перечня видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности.

Деятельность в области защиты информации регулируются совместным решением Гостехкомиссии России и ФАПСИ от 27 апреля 1994 № 10, которым утверждено и введено в действие с 1 июня 1994 г. «Положение о государственном лицензировании деятельности в области защиты информации», а также закреплены за ними конкретные виды деятельности и области защиты информации (Приложение 1 к данному Положению).

В соответствии с «Перечнем видов деятельности предприятий в области защиты информации, подлежащих лицензированию ФАПСИ» лицензированию подлежит «Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержаний сведений, составляющих государственную тайну».

В новом Федеральном законе от 8.08.2001 года№ 128-ФЗ «О лицензировании отдельных видов деятельности», который вступает в силу с февраля 2002 года и приходит на смену одноименному Федеральному закону от 25.09.1998 года № 158-ФЗ, в Перечне видов деятельности, на осуществление которых требуется лицензия, этого вида деятельности (эксплуатация СКЗИ) уже нет.

В новом законе в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:

• деятельность по распространению шифровальных (криптографических) средств;

• деятельность по техническому обслуживанию шифровальных (криптографических) средств;

• предоставление услуг в области шифрования информации;

• разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

• деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

• деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

• деятельность по технической защите конфиденциальной информации;

• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.

Сертификация средств защиты и аттестование объектов информатизации

Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты:

• (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU . OOO 1. O 1БИ OO ;

• (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .0001.030001;

• (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ — ГТ) №РОСС RU .0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных . направлениях защиты информации.

К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

• в области защиты информации от несанкционированного доступа:

комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом «О стандартизации» можно отнести к отраслевым стандартам, в том числе:

— «Защита от несанкционированного доступа к информации. Термины и определения»

— «Концепция защиты СВТ и АС от НСД к информации»

— «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»

— «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ»

— «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

— «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ»

— «Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов»

— «Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей»

• ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от НСД к информации. Общие технические требования»

• ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

• в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

• «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН» (Решение Председателя Гостехкомиссии СССР, 1977г.)

• «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.97 г. № 55)

• ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования»

• ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний»

• методики контроля защищенности объектов ЭВТ и другие;

• в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

• ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»

• ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»

• ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

• ГОСТ Р 34.11 -94 «Функция хеширования»

• «Положение о разработке, изготовлении и обеспечении эксплуатации

шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику» (ПШ-93)

• Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие

• «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152 ).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 — 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам — разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.

Аттестация

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа -«Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.

Обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию Гостехкомиссии России на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Гостехкомиссии России.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

Юридическая значимость ЭЦП

Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10 января 2002 г.) определяет основные понятия, связанные с ЭЦП следующим образом:

  • электронный документ — документ, в котором информация представлена в электронно-цифровой форме;
  • электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
  • средства ЭЦП — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций -создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
  • сертификат средства ЭЦП — документ на бумажном носителе, выданный соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;
  • закрытый ключ ЭЦП — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП;
  • открытый ключ ЭЦП — уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи в электронном документе;
  • сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
  • владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
  • подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;
  • пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
  • информационная система общего пользования — информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
  • корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
  • Основной целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
  • При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и обязанности автора подписи, технологию удостоверения подписи. Закон определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами В законе устанавливаются права и обязанности обладателя электронной цифровой подписи. Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.
  • В законе устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров.
  • Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация.
  • Закон исходит из того, что деятельность удостоверяющего центра по выдаче сертификатов ключей подписи в информационных системах общего пользования подлежит лицензированию.
  • Законом предусматривается защита прав лиц, использующих ЭЦП в процессах электронного обмена документами, и условия приостановления действия и (или) аннулирования сертификата ключа подписи.

Наиболее значимым моментом закона «Об ЭЦП» является определение условий, при которых ЭЦП признается равнозначной собственноручной подписи физического лица.

Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) па момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

• подтверждена подлинность электронной цифровой подписи в электронном документе;

• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки.

2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной – цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

ПС РФ. Часть 1. Глава 28. Статья 434. Форма договора

Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

Федеральный Закон «Об информации, информатизации и защите информации»Статья 5. Документирование информации

2. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке установленном законодательством РФ.

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования.

4. Право удостоверять идентичность ЭЦП осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством РФ.

В комментариях к этому закону, изданных Комитетом при Президенте РФ по политике информатизации, Института государства и права РАН, НТЦ «Информсистема» сказано, что «Для признания ЭЦП необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования».

Таким образом, применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

Эксплуатация (использование) сертифицированных средств шифрования и электронной цифровой подписи может осуществляться в соответствии с действующим законодательством только на основании лицензии ФАПСИ.

понятие информационной безопасности правовая информационная безопасность обеспечение безопасности информационных технологий ARinteg

Российское право регулирует самые различные общественные отношения, в том числе отношения в сфере информационной безопасности, возникающие при создании, обработке, передаче, распространении и использовании информации. Основные виды отношений, составляющих предмет права в области информационной безопасности, это отношения:

— в сфере обработки персональных данных

— обработки сведений, являющихся государственной, банковской и коммерческой тайной

— электронного документооборота, торговли и предпринимательской деятельности с использованием информационных технологий.

Право в области информационной безопасности – это не только законодательное обеспечение, но и правовые доктрины и концепции, сложившееся правоприменение, а также правосознание общества. Все эти формы права постоянно меняются и совершенствуются в соответствии с непрерывно развивающимися информационными технологиями.

В чем же заключается специфика права в области информационной безопасности? Она вытекает из следующих особенностей информации, отличающих её от известных традиционному праву материальных объектов:

— информация не обязательно исчезает при краже и может оставаться в информационной системе и после утечки

— информация не привязана к своему носителю и форме своего представления, а отделима от них, что, к примеру, создаёт трудности при защите интеллектуальной собственности

— во многих случаях сложно оценить стоимость информации и ущерб от её несанкционированного распространения

— информация жизненно важна для осуществления практически любого бизнес процесса и при этом всегда и всюду требует надежной защиты.

Особенности информации и, соответственно, отношений между её пользователями, приводят к тому, что право в области информационной безопасности использует не только уже имеющиеся правовые средства, но и специфические концепции, понятия и термины, например, такие как «обладатель информации», «доступ к информации» и т.д.

Есть у права в области информационной безопасности и специфические проблемы. Так, оно:

— не охватывает всего многообразия общественных отношений, возникающих во время обработки и распространения информации

— не всегда соблюдает баланс между интересами участников отношений

— нуждается в уточнении спорных и нечетких положений и терминов

— включает противоречия и правовые коллизии

— недостаточно систематизировано – не имеет единого кодекса.

Наличие всех этих правовых проблем информационной безопасности закономерно и вызвано ускоренным развитием информационного общества и информационных технологий в современном мире. Несмотря на указанные правовые проблемы информационной безопасности, возникновение форм российского права в области ИБ – явление исключительно положительное. Принятие федеральных законов и методических документов государственных органов, нацеленных на обеспечение информационной безопасности, заставило организации и граждан обратить внимание и направить силы на решение насущных и назревших вопросов защиты информации. Со временем законотворческий процесс, правоприменение и правосознание в этой сфере будут корректироваться и совершенствоваться. Главное – то, что им положено начало.

Правовая защита информации. Направления обеспечения информацион­ной безопасности — это нормативно-пра­вовые категории, ориентированные на обеспечение комплексной защиты инфор­мации от

3. Коммерческая тайна

Направления обеспечения информацион­ной безопасности — это нормативно-пра­вовые категории, ориентированные на обеспечение комплексной защиты инфор­мации от внутренних и внешних угроз.

Направления обеспечения безопасности вообще рассматриваются как нормативно-правовые катего­рии, определяющие комплексные меры защиты ин­формации на государственном уровне, на уровне предприятия и организации, на уровне отдельной личности.

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

правовая защита — это специальные законы, дру­гие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информа­ции на правовой основе;

организационная защита — это регламентация производственной деятельности и взаимоотноше­ний исполнителей на нормативно-правовой осно­ве, исключающая или ослабляющая нанесение ка­кого-либо ущерба исполнителям;

инженерно-техническая защита — это использо­вание различных технических средств, препят­ствующих нанесению ущерба коммерческой деятельности (рис. 2.1).

Кроме этого, защитные действия, ориентирован­ные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом парамет­ров, отражающих, помимо направлений, ориентацию на объекты защиты, характер угроз, способы дей­ствий, их распространенность, охват и масштабность (рис. 2.2).

Так, по характеру угроз защитные действия ори­ентированы на защиту информации от разглашения, утечки и несанкционированного доступа. По способам действий их можно подразделить на предупреждение, выявление, обнаружение, пресечение и восстановле­ние ущерба или иных убытков. По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элемен­ты аппаратуры.

Масштабность защитных мероприятий характеризуется как объектовая, групповая или инди­видуальная защита. Например, защита автономной ПЭВМ в режиме индивидуального пользования.

Правовая защита информационной безопасности на государственном уровне

Таблица 6.1 — Виды интернет-бизнеса

При классификации бизнеса с точки зрения организационной структуры проекта выделяют несколько бизнес-моделей:

· В2В (business-to-business) — бизнес для бизнеса;

· В2С (business-to-consumer) — бизнес, ориентированный на конечного физического потребителя;

· С2С (consumer-to-consumer) — бизнес, обеспечивающий взаимодействие между большим количеством физических потребителей;

· С2В (consumer-to-business) — системы обработки ценовых заявок, по которым потребители хотели бы приобрести товары и услуги;

· В2А (business-to-administration) — бизнес, оперирующий сделками между частными компаниями и правительственными организациями (администрацией);

· С2А (consumer-to-administration) — бизнес, построенный на организации взаимоотношений физических лиц и государственных служб.

Кроме того, существует еще целый ряд экзотических моделей, связанных с видами бизнеса, построенными на взаимодействиях бизнесправительство (B2G), правительствограждане (G2C), правительствоправительство (G2G) и т. п., которые не будут далее рассматриваться, как не имеющие для российского интернет-рынка ощутимого практического значения.

В2С — самая «очевидная» бизнес-модель. Компания (юридическое лицо или частный предприниматель) продает товары или оказывает услуги физическим лицам. К этой категории бизнеса относится весьма значительный круг предприятий электронной коммерции: Интернет-магазины, платные сервисы для физических лиц, электронные казино, многочисленные компании, продающие консультационные и информационные услуги.

Модель В2В является еще одной (вместе с В2С) основной моделью сетевого бизнеса. Она объединяет компании, работающие на межкорпоративном рынке, где одни юридические лица оказывают услуги и продают товары другим юридическим лицам. К. этой категории относятся интернет-биржи, компании-производители и продавцы оборудования, сырья, товаров и усну г, необходимых другим компаниям для осуществления их предпринимательской деятельности. В настоящее время, говоря о В2В-рынке, часто делают основной упор на межкорпоративные торговые площадки в Интернете.

Структура В2С и B2B компаний;

1) интерактивный Web-сайт, содержащий информацию о продукции, товарах и услугах, прайс-листы и каталоги;

2) площадка хостинга сайта — место, где сайт физически размещен. Это может быть собственный сервер компании, расположенный в офисе фирмы или на территории (хостинг- площадке) интернет-провайдера.

3) бэк-офис — технический персонал и администрация компании, помещение, где она размещается и откуда осуществляется административное и техническое управление проектом.

4) служба доставки;

5) подразделение по работе с поставщиками;

6) система расчетов за товары и услуги;

7) маркетинговая служба.

Модели С2С (сетевые аукционы и торговые площадки, где физические лица торгуют друг с другом) и С2В (обработка ценовых заявок, по которым потребители хотели бы приобрести товары и услуги), по большому счету, являются производными моделями от В2В и В2С, поскольку оказывают услуги юридическим и физическим лицам.

Модель С2С приписывается практически исключительно Интернет-аукционам, на которых торгуют между собой физические лица. Сетевые аукционы начали появляться в России в конце 1999 года. Сейчас их насчитывается более десяти. Концепция бизнеса такого аукциона предусматривает два пути получения доходов: комиссия, взимаемая с клиентов при совершении сделок купли-продажи, и продажа рекламы юридическим лицам. При этом в России Интернет-аукционы предпочитают не брать с физических лиц плату за свои услуги, а доходы получать исключительно от рекламы, т. е. российский вариант С2С это, практически, один к одному рекламный вариант модели В2В.

Модель С2В в условиях российского рынка не имеет самостоятельного значения. Ее элементы используются некоторыми сетевыми каталогами товаров и услуг для расширения сервиса. Идея этой модели достаточно проста: есть сайт-каталог, на котором большое количество продавцов (юридических лиц) выставляют свои товары. При этом физические лица, посетители сайта, могут оставить на нем заявку на приобретение какого-либо из предлагаемых товаров по цене не выше такой-то.

Модель В2А (business-to-administration) — бизнес, оперирующий сделками между частными компаниями и правительственными организациями (администрацией). Эта модель в России существует только теоретически. По сути, правительство проводит online-тендер.

Модель С2А (consumer-to-administration) — бизнес, построенный на организации взаимоотношений физических лиц и государственных служб. Эта модель носит еще более теоретический характер, чем В2А. Считается, что с использованием Интернета можно будет расширить взаимодействие между гражданами и администрацией в области социального обеспечения. Одним из шагов в этом направлении является намечающаяся тенденция к созданию Web-сайтов всех органов власти в России.

Правовая защита информационной безопасности на государственном уровне

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту.

На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 2.4, рис.2.5). В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.

Рис. 2.4 – Правовая защита информации

Рис. 2.5 – Структура законодательства России в области защиты информации

Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур. Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.

Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и др. Далее приводится такая структура правовых актов, ориентированных на правовую защиту информации.

Первый блок – конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Второй блок – общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности и др.), которые включают нормы по вопросам информатизации и информационной безопасности.

Третий блок – законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.

Четвертый блок – специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации» и др. Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.

Пятый блок – законодательство субъектов Российской федерации, касающееся защиты информации.

Шестой блок – подзаконные нормативные акты по защите информации.

Седьмой блок – это правоохранительное законодательство России, содержащее нормыоб ответственности за правонарушения в сфере информатизации.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Вторая часть этого проекта статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так:

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».

Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (рис.2.6).

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.

Смотрите еще:

  • Военный комиссариат кировского ленинского волжского районов г саратова Все военные комиссариаты в Саратове Саратовской области Военный комиссариат (военкомат) в Саратове отвечает за учетно-призывную и военно-мобилизационную работу, важнейшие направления которой: Постановка и снятие с военного учета […]
  • Общественное объединение минское общество потребителей Минский городской исполнительный комитет 220030, Минск, проспект Независимости 8 Власть Республиканские государственные органы Комитет государственного контроля Республики Беларусь Управление КГБ по г.Минску и Минской […]
  • Общество защиты прав потребителей инн Городское Общество Защиты Прав Потребителей информация актуальна на 11.10.2018 на карточке организациис учетом всех используемыхисточников данных."> разделы Анкета Реквизиты Учредители Связи ОКВЭД Выписка из ЕГРЮЛ ФНС РФ"> […]
  • Работа юрист в верхней пышме работа юриста в Верхней Пышме Чтобы найти вакансии, пожалуйста: 1. Упростите название должности или ознакомьтесь с вакансиями для похожих профессий или смежных отраслей. 2. Проверьте правильность написания должности. Первая 1 2 […]
  • Работа харьков вакансии юрист без опыта работы Юриспруденция в Харькове за 30 дней За 30 дней За 14 дней За 7 дней За 1 день Керівник юридичного відділу у Володимир-Волинський Полная занятость. Опыт работы от 5 лет. Высшее образование. ПрАТ Володимир-Волинська птахофабрика […]
  • Приговоры по ст 116 Приговоры по ст 116 Автострахование Жилищные споры Земельные споры Административное право Участие в долевом строительстве Семейные споры Гражданское право, ГК РФ Защита прав потребителей Трудовые споры, […]
admin

Обсуждение закрыто.