В 3 Направления обеспечения информационной безопасности. Правовая защита.

План.

1. Комплекс мер безопасности и направления защиты информации

2. Предпосылки правовой защиты.

3. Общегосударственные нормативные акты

3.1 Комплекс мер безопасности и направления защиты информации

Направления обеспечения информационной безопасности – это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз. Комплекс мер безопасности может рассматриваться на государственном уровне, на уровне предприятия (организации), на уровне отдельной личности. Однако во всех случаях при построении системы таких мер следует учитывать следующие положения:

1. Если не уверен в безопасности, то следует считать, что опасность существует.

2. За безопасность следует платить.

3. Безопасность не бывает избыточной.

4. Безопасность должна быть только комплексной.

5. Комплексная безопасность может быть обеспечена только системой безопасности.

6. Никакая система безопасности не обеспечивает требуемого уровня без надлежащей подготовки руководителей, сотрудников и клиентов.

7. В безопасности должен быть заинтересован каждый.

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

- правовая защита – это специальные законы, другие нормативные акты, правила, процедуры, мероприятия, обеспечивающие защиту информации на правовой основе;

- организационная защита – это регламентация государственной и производственной деятельности , а также взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;

- инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба коммерческой или государственной деятельности

Кроме того, защитные действия могут быть охарактеризованы целым рядом параметров, отражающих помимо направлений, ориентацию на объекты защиты (персонал, материальные ценности, информация), по характеру угроз (разглашение утечка, НСД), по способам действий (предупреждение, выявление, обнаружение, пресечение, восстановление), по масштабу (объектовая, групповая, индивидуальная), по охвату территории.

3.2 Предпосылки правовой защиты.

Предпосылки закрепления права собственности на информацию. Особенности регулирования прав собственности на информацию

Информация как и всякий полезный продукт, обладающий потребительскими свойствами (получение дополнительного экономического или морального эффекта), и потребительской стоимостью имеет также и своих производителей и обладателей. С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке товаров и услуг, избежать возможного материального или морального ущерба со стороны недоброжелателей. Это требует определенных действий, направленных на правовую защиту конфиденциальной и секретной информации.

Право – это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизнедеятельности государственных органов, предприятий и населения.

Правовая защита информации как ресурса определяется главным образом межгосударственными декларациями, конвенциями, договорами и реализуется патентами, авторским правом и лицензиями на их защиту (международный уровень).

3.3 Общегосударственные нормативные акты

Общефедеральные нормативные акты: законы, постановления, стандарты. Государственная информационная политика.

На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими актами (нормами, правилами) являются Конституция, законы РФ, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Ведомственные и внутренние приказы, положения, инструкции, руководства также являются правовыми документами, но действуют только в рамках определенных структур.

Современные условия требуют комплексного подхода к формированию и развитию законодательства по защите информации, соотнесения его со всей системой законов и правовых актов РФ. Требования информационной безопасности должны включаться во все уровни законодательства, в том числе:

а) в конституционное законодательство (нормы, касающиеся защиты информации входят в него как составные элементы),

б) в общие законы и кодексы (о собственности, о гражданстве, о налогах, которые включают нормы по вопросам информатизации и информационной безопасности) ,

в) в законы об организации государственной системы управления, касающиеся отдельных структур хозяйства, административных органов. Наряду с общими вопросами информационного обеспечения конкретного органа эти нормы должны устанавливать обязанности этих органов по формировании, актуализации и безопасности информации , представляющей общегосударственный интерес,

г) в специальные законы, относящиеся к конкретным сферам и процессам народного хозяйства. В них входит и Закон РФ «Об информации». Этот блок, который должен присутствовать и в законодательстве субъектов РФ составляет основу правового обеспечения информационной безопасности,

д) подзаконные нормативные акты по защите информации,

е) правоохранительное законодательство РФ, содержащее нормы об ответственности за нарушения в сфере информатизации.

Блоки (д) и (е) составляют основу для исполнения блока специальных законов по информатизации и защите информации (г). В этой группе базовым является Закон РФ «Об информации, информатизации, и защите информации», который закладывает основы правового определения всех компонент информационной деятельности: -информации и информационных систем; - субъектов – участников информационных процессов; - правоотношений «производитель- потребитель» для информационной продукции; - владельцев (обладателей, источников) информации - обработчиков и потребителей на основе отношений собственности при условии гарантий интересов граждан и государства. Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа в открытой информации и к информации с ограниченным доступом, кроме того, он содержит общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка регистрации и лицензирования, общие принципы защиты и гарантий прав участников информационного процесса.

В дополнение к базовому в 1992 г. были приняты законы «О правовой охране программ для ЭВМ и баз данных», «О правовой охране топологии интегральных микросхем». Они устанавливают охрану соответствующих объектов с помощью норм авторского права.

Вопросы правового режима информации с ограниченным доступом реализуются в самостоятельных законах о государственной и коммерческой (проект) тайнах. Этот аспект раскрывается и в Гражданском кодексе РФ (ст. 139 – Служебная и коммерческая тайна):

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну определяются законом.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

2-я часть этого проекта статьи определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба:

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору и на контрагентов, сделавших это вопреки гражданско-правовому договору».

Указ президента РФ от 6.03.97 №188 определяет понятие и содержание конфиденциальной информации:

Конфиденциальная информация- это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. К ней относятся:

- личная (сведения о частной жизни гражданина позволяющие идентифицировать его личность);

- судебно-следственная (сведения, составляющие тайну следствия и судопроизводства);

- служебная (служебные сведения, доступ к которым ограничен государственными органами);

- профессиональная (врачебная, адвокатская, тайна переписки и телефонных переговоров и др.);

- коммерческая (сведения, связанные с коммерческой деятельностью, доступ к которым ограничен);

- производственная (сведения о сущности изобретения, полезной модели, промышленного образца до официальной публикации информации о них).

Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

1. ГОСТ 29339-92. «Информационная технология. Защита информации от утечки за счет ПЭМИН (побочные электромагнитные излучения и наводки) при ее обработке СВТ».

2. ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счёт ПЭМИН при ее обработке СВТ. Методы испытаний».

3. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.

4. Специальные требования и рекомендации по защите объектов ЭВТ от утечки информации за счет ПЭМИН.

Действия по защите информации от НСД регламентируют положения Правительства и указы президента «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи», «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и ГОСТы на информационную деятельность с учетом обеспечения ее безопасности, например ГОСТ Р 50739- 95 «СВТ. Защита от НСД к информации; ГОСТ 28147 – 89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р.34.10 – 94 «Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма»; ГОСТ Р.В.50170 – 92 «Противодействие ИТР. Термины и определения».

Не нашли, что искали? Воспользуйтесь поиском по сайту: