12+
Комплексное обеспечение информационной безопасности

Бесплатный фрагмент - Комплексное обеспечение информационной безопасности

Для студентов технических специальностей

Объем: 288 бумажных стр.

Формат: epub, fb2, pdfRead, mobi

Подробнее

ВВЕДЕНИЕ

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Сегодня информация приравнивается к важнейшим ресурсам наряду с сырьем и энергией. В развитых странах большинство работающих заняты не в сфере производства, а в той или иной степени занимаются обработкой информации. В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.

Широкое внедрение персональных компьютеров вывело уровень информатизации деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В компьютерах и на серверах, на носителях данных накапливаются значительные объемы информации, представляющей большую ценность для ее владельца.

Однако создание индустрии переработки информации, давая объективные предпосылки для грандиозного повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в информационных системах.

Рассматривая информацию как товар, можно сказать, что информационная безопасность в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к значительным материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка.

С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.

Вместе с тем можно отметить и новую тенденцию, заключающуюся во все большей информационной зависимости общества в целом и отдельного человека, в частности. Именно поэтому в последнее время появились такие категории, как «информационная политика», «информационная безопасность», «информационная война» и целый ряд других новых понятий, в той или иной мере связанных с информацией.

В настоящее время промышленно развитые страны переживают новый исторический этап научно-технической революции, связанный с возрастанием роли информации в общественном производстве. Сложившаяся ранее система отношений, получившая условное название «индустриального общества», переходит в исторически новое «информационное общество», общество, осно­ванное на информации.

Информационное общество — объективно возник­шая в ходе исторического процесса стадия общественного развития. Она предполагает качественно новый, более высокий уровень производитель­ных сил (в сравнении с индустриальным обществом). При переходе от индустриального общества к информационному резко возрастает значение информации, её накопления и использования во всех сферах социальной практики, что ведет к усилению динамизма социаль­ных процессов и ускорению общественного прогресса, интеграции всего человечества.

Исторически развитие средств и методов защиты информации условно можно разделить на три этапа.

Первый из этих подходов условно может быть назван примитив­ным. Он характерен для начального периода развития работ по защите информации. Отличительными особенностями этого подхода являются попытки решения проблемы защиты путем разового включения несложных механизмов защиты в состав системы. Основное внимание уделялось обеспече­нию ее физической целостности. Нарушение информации на этом первоначальном эта­пе рассматривалось как результат воздействия естественных факторов, главными из которых являются отказы, сбои и ошибки элемен­тной базы. Проблемы защиты от несанкционированного получения информации в большинстве случаев не возникало. Это объяснялось автономностью работы ЭВМ первых поколений, индивидуаль­ностью реализации процедур обработки, представление информации в памяти ЭВМ и на машинных носителях в закодированном виде.

По мере роста масштабов ав­томатизации обработки информации уязвимость информации со стороны злоумышленников стала быстро расти. Ущерб от подобных действий нередко принимал внушительные размеры и приводил к серьезным сбоям и уничтожению информации. Возникла проблема угроз безопасности информации вследствие заражения систем компью­терными вирусами. Поэтому на рубеже 70-80-х годов на смену примитивному, пришел полу системный подход, который характеризовался существенным расширением используемых средств защиты, особенно программ­ных и юридических.

Наконец, в последние годы на смену полу системному пришёл комплексный подход к организации защиты информации. Для этого подхода характерен взгляд на защиту информации как на непрерывный процесс, осуществляемый на всех этапах жизненного цикла автоматизированных систем — проектировании, создании, эксплуатации. Причем, все используемые средства и методы объединены в еди­ную систему, в которой немалую роль играет соз­данная на этом этапе нормативно-правовая база защиты информации. К указанным средст­вам относятся законы, стандарты и другие нормативно-правовые акты, регла­ментирующие правила обращения с защищаемой информацией и являю­щиеся обязательными для соблюдения.

Отчетливо просматривается тенденция выработки и реализации концеп­ции защиты, направленной на решение трех классов задач — задач анали­за, синтеза и управления.

Задача анализа заключается в объективной оценке потенциальных угроз информации и возможного ущерба от их проявления.

Задачи синтеза — определение наиболее эф­фективных форм и способов организации механизмов защиты.

Задачей управления является обеспечение рационального использования созданных механизмов защиты в процессе обра­ботки защищаемой информации.

Кроме того, достаточно явно наблюдаются и следующие тенденции — обострение конкуренции и снижение лояльности сотрудников зачастую приводит к увеличению рисков, связанных с информационной безопасностью (ИБ). Нестабильные экономические условия заставляют компании внимательнее относится к вопросам защиты информации, при этом инциденты в сфере информационной безопасности имеют прямое влияние на прибыль компаний. Перед руководителями подразделений по ИБ стоят задачи оптимального построения службы информационной безопасности, ее взаимосвязи с другими подразделениями и распределения полномочий, для обеспечения соответствия современным требованиям бизнеса.

В этих условиях необходимо по новому взглянуть на эффективность систем информационной безопасности, связанные с нею риски, определить обязательные действия по защите информации, и необходимые приоритеты дальнейшего развития.

Сегодня современные методы и решения дают возможность обеспечить очень высокий уровень информационной безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными — в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30% ИТ-бюджета. Поэтому одним из важных этапов создания эффективной системы защиты информации является её первичный технико-экономический анализ. Необходимо в первую очередь определить возможный материальный ущерб от нарушения, потери или кражи информации и необходимых затрат на её реализацию.

Анализ затрат на реализацию проектов в сфере ИБ целесообразно осуществлять с анализа возможных потерь от нарушения режима информационной безопасности, определения возможных угроз и издержек и оценки экономических последствий внедрения и использования таких систем безопасности. Как правило, эти затраты будут иметь следующий характер:

· проектирование информационной системы;

· приобретение аппаратных и программных средств;

· разработку программного обеспечения и его документирование, а также на исправление ошибок и доработку в течение периода эксплуатации;

· текущее администрирование информационных систем;

· техническую поддержку и сервисное обслуживание;

· расходные материалы;

· телекоммуникационные услуги;

· затраты на обучение;

Также в расчет затрат на повышение уровня ИБ необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом. Кроме того, при анализе расходов необходимо также учесть, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами.

Все перечисленное указывает на важность именно комплексного подхода к организации защиты информации и информационных автоматизированных систем, учитывающего законодательные, организационные, кадровые, технические и программные меры обеспечения информационной безопасности.

1 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Прежде, чем переходить к исследованию проблем информационной безопасности, необходимо подробно разобраться с самим понятием" безопасность"и «информационная безопасность»(ИБ). Закон «О БЕЗОПАСНОСТИ» от 5 марта 1992 года дает следующее понятие безопасности.

Статья 1. Понятие безопасности и ее объекты

Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Жизненно важные интересы — совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

К основным объектам безопасности относятся: личность — ее права и свободы; общество — его материальные и духовные ценности; государство — его конституционный строй, суверенитет и территориальная целостность.

Статья 2. Субъекты обеспечения безопасности

Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.

Государство в соответствии с действующим законодательством обеспечивает безопасность каждого гражданина на территории Российской Федерации. Гражданам Российской Федерации, находящимся за ее пределами, государством гарантируется защита и покровительство.

Граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации, нормативными актами органов государственной власти и управления краев, областей, автономной области и автономных округов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, общественным и иным организациям и объединениям, оказывающим содействие в обеспечении безопасности в соответствии с законом.

Статья 4. Обеспечение безопасности

Безопасность достигается проведением единой государственной политики в области обеспечения безопасности, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.

Для создания и поддержания необходимого уровня защищенности объектов безопасности в Российской Федерации разрабатывается система правовых норм, регулирующих отношения в сфере безопасности, определяются основные направления деятельности органов государственной власти и управления в данной области, формируются или преобразуются органы обеспечения безопасности и механизм контроля и надзора за их деятельностью.

Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности.

Понятие «информационная безопасность» поясняется в нескольких законах и в Доктрине информационной безопасности Российской Федерации.

В Законе «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется как состояние защищенности информационной среды.

В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» определяется как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Более конкретно информационная безопасность определяется, как защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Необходимо также отметить, что понятие информационная безопасность иногда заменяют термином «компьютерная безопасность» (как эквивалент или заменитель ИБ), что совершенно неправильно. Компьютеры — только одна из составляющих информационных систем. Безопасность же автоматизированных систем обработки информации определяется всей совокупностью мер безопасности, таких, как юридические, организационные, физические и другие.

Считается также, что безопасность информации — это состояние защищённости информации, при котором обеспечены её конфиденциальность, доступность и целостность.

Конфиденциальность -недоступность информационных ресурсов для неуполномоченных лиц.

Целостность — неизменность информации в процессе её передачи или хранения.

Доступность -возможность получения и использования информационных ресурсов только по требованию уполномоченных лиц.

В целом условно информационную безопасность можно разделить на три большие составляющие:

1. Информационная безопасность государства.

2. Информационная безопасность организации.

3. Информационная безопасность личности.

Коротко эти составляющие можно определить следующим образом.

Информационная безопасность государства — это состояние государства, в котором ему не может быть нанесен существенный ущерб путем оказания воздействия на его информационную сферу. Проблемы государственной безопасности в своей совокупности образуют весьма сложную, многоплановую и комплексную систему.

Здесь следует заметить, что информационная безопасность государства часто заменяется термином национальная безопасность, что в корне неправильно. Российская Федерация — это многонациональное государство, и говорить о национальных интересах здесь практически невозможно. Национальные интересы — это интересы отдельной национальности, например интересы этнического характера, сохранения самобытности, культуры, традиций.

Государство должно защищать общие интересы всех наций, входящих в его состав. Его задача в информационной сфере заключаются в создании условий для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, развитии равноправного и взаимовыгодного международного сотрудничества.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.

Первая составляющая государственных интересов в информационной сфере включает в себя обеспечение конституционных прав и свобод гражданина в области получения информации и пользования ею, духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма, культурного и научного потенциала страны, защиту их от угрозы путем информационного разрушения.

Вторая составляющая включает в себя информационное обеспечение достоверной информацией о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая включает в себя развитие современных информационных технологий, отечественной индустрии информации, средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок,

Четвертая включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем на территории России, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов, сохранение государственной тайны и конфиденциальности документированной информации.

Информационная безопасность организации — это состояние информационной структуры организации, при котором ей не может быть нанесен ей существенный ущерб путем воздействия на её информационную сферу. Реализуется через административную и программно-техническую регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией.

Без надежных мер информационной безопасности любое современное предприятие становится беззащитным перед неправомерными действиями не только внешних злоумышленников, но и собственных сотрудников.

Информационная безопасность личности — это состояние человека, в котором его личности не может быть нанесен ущерб путем оказания воздействия на окружающее информационное пространство. Это защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Кроме того, все меры и способы по реализации информационной безопасности можно разделить на несколько уровней:

1. Законодательные меры информационной безопасности.

2. Организационные меры информационной безопасности.

3. Технические способы информационной безопасности.

4. Программные способы информационной безопасности.

Рассмотрим подробно каждый из них.

2. ЗАКОНОДАТЕЛЬНЫЕ МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Законодательный уровень информационной безопасности основывается на положениях национальных и международных законов, правовых актах, уголовном и других кодексах, которые защищают авторское право и конфиденциальность информации. В информационной сфере основу информационной безопасности составляют нормы Конституции РФ о праве каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1 ст. 23), а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23).

Конституция РФ провозглашает недопустимость разглашения информации, которой обмениваются между собой люди. Вся эта информация не должна подвергаться цензуре. Работники организаций, обслуживающие каналы коммуникаций, должностные и иные официальные лица (следователи, понятые, присутствующие при выемке корреспонденции, и т.п.) несут ответственность за разглашение содержания корреспонденций.

2.1 Нормативно-законодательная база информационной безопасности как часть комплекса информационной безопасности

Нормативно-законодательная база информационной безопасности является частью всего комплекса информационной безопасности. В состав этой базы входит весь комплекс нормативно-технических и нормативно-методических документов по защите информации. Различают следующие.


· Законодательные акты или законы РФ.

· Правовые акты президента РФ (указаны).

· Постановления правительства РФ.

· Доктрины Российской федерации в области защиты информации.

· Нормативно-методические документы по защите информации.

· Документы уполномоченных федеральных органов.

· Национальные стандарты в области защиты информации.

· Международные стандарты в области защиты информации.

· Международные соглашения в области защиты информации.


Рассмотрим наиболее важнейшие из них. Как было указано ранее, первая составляющая государственных интересов в информационной сфере включает в себя обеспечение конституционных прав и свобод гражданина в области получения информации и пользования ею.

2.2 Право граждан на информацию

Право граждан на информацию является одним из важнейших экономических, политических и личных прав человека и гражданина. Реализация права граждан на информацию, обеспечение свободного доступа к имеющей общественное значение информации, информационная открытость органов власти являются важнейшими условиями и критериями функционирования правового государства.

В России право граждан на информацию обеспечивается прежде всего Конституцией Российской Федерации, принятой в 1993 году. Приведем статьи и отдельные их положения по этому вопросу.

Статья 24.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом

Статья 29

1. Каждому гарантируется свобода мысли и слова.

4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

5. Гарантируется свобода массовой информации. Цензура запрещается.

Статья 41

3. Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом.

Статья 42

Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.

Одним из инструментов реализации права граждан на получение информации являются средства массовой информации. Закон РФ «О средствах массовой информации» устанавливает право граждан на оперативное получение через средства массовой информации достоверных сведений о деятельности государственных органов и организаций, общественных объединений, их должностных лиц. Приведем отдельные наиболее важные статьи этого закона.

Статья 1. Свобода массовой информации.

В Российской Федерации поиск, получение, производство и распространение массовой информации, учреждение средств массовой информации, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных законодательством Российской Федерации о средствах массовой информации.

Статья 38. Право на получение информации

Граждане имеют право на оперативное получение через средства массовой информации достоверных сведений о деятельности государственных органов и организаций, общественных объединений, их должностных лиц.

Государственные органы и организации, общественные объединения, их должностные лица предоставляют сведения о своей деятельности средствам массовой информации по запросам редакций, а также путем проведения пресс-конференций, рассылки справочных и статистических материалов и в иных формах.

Статья 39. Запрос информации

Редакция имеет право запрашивать информацию о деятельности государственных органов и организаций, общественных объединений, их должностных лиц. Запрос информации возможен как в устной, так и в письменной форме. Запрашиваемую информацию обязаны предоставлять руководители указанных органов, организаций и объединений, их заместители, работники пресс-служб либо другие уполномоченные лица в пределах их компетенции.

Статья 40. Отказ и отсрочка в предоставлении информации

Отказ в предоставлении запрашиваемой информации возможен, только если она содержит сведения, составляющие государственную, коммерческую или иную специально охраняемую законом тайну. Уведомление об отказе вручается представителю редакции в трехдневный срок со дня получения письменного запроса информации. В уведомлении должны быть указаны:

1) причины, по которым запрашиваемая информация не может быть отделена от сведений, составляющих специально охраняемую законом тайну;

2) должностное лицо, отказывающее в предоставлении информации;

3) дата принятия решения об отказе.

Наиболее существенно здесь то, что этим законом редакциям СМИ предоставляется право запрашивать информацию о деятельности государственных органов и организаций, общественных объединений, должностных лиц, и отказ в предоставлении информации возможен только в том случае, если она содержит государственную, коммерческую или иную специально охраняемую законом тайну. Иное будет наказуемо в судебном порядке.

В 1993 году был издан Указ Президента РФ «О дополнительных гарантиях права граждан на информацию» (от 31.12.1993 №2334), провозгласивший принцип информационной открытости деятельности государственных органов, организаций и предприятий, общественных объединений, должностных лиц. Этот очень важный указ позволяет гражданам получать беспрепятственно любую информацию о деятельности любых государственных органов без объяснения мотивов такого запроса. Ввиду его важности приведутакже отдельные наиболее важные положения этого указа.

Исходя из того, что право на информацию является одним из фундаментальных прав человека;

в целях обеспечения свободы получения гражданами информации о деятельности органов законодательной, исполнительной и судебной власти;

основываясь на пункте 4 статьи 29 и пункте 2 статьи 80 Конституции Российской Федерации, постановляю:

3. Деятельность государственных органов, организаций и предприятий, общественных объединений, должностных лиц осуществляется на принципах информационной открытости, что выражается:

в доступности для граждан информации, представляющей общественный интерес или затрагивающей личные интересы граждан;

в систематическом информировании граждан о предполагаемых или принятых решениях;

в осуществлении гражданами контроля за деятельностью государственных органов, организаций и предприятий, общественных объединений, должностных лиц и принимаемыми ими решениями, связанными с соблюдением, охраной и защитой прав и законных интересов граждан.

4. Установить, что в информационных программах государственных телерадиовещательных компаний до сведения граждан в обязательном порядке доводятся основные положения правовых актов и решений государственных органов по основным вопросам внутренней и внешней политики в день их выпуска.

5. Государственным телерадиовещательным компаниям создать циклы передач (программы), разъясняющие деятельность федеральных органов законодательной, исполнительной и судебной власти, существо принимаемых решений с привлечением к работе над этими программами ведущих специалистов, экспертов, разработчиков соответствующих документов.

Установить, что объем и периодичность выпуска указанных программ определяется руководителями государственных телерадиовещательных компаний самостоятельно.

6. Деятельность федеральных органов законодательной, исполнительной и судебной власти освещается в программах государственной телерадиовещательных компаний в равном объеме.

Контроль за объективностью освещения такой деятельности осуществляется Судебной палатой по информационным спорам при Президенте Российской Федерации.

7. Руководствуясь пунктом 4 статьи 15 Конституции Российской Федерации, при освещении деятельности Федерального Собрания средствам массовой информации исходить из Резолюции Парламентской ассамблеи Совета Европы №820 (1984) об отношениях парламентов государств со средствами массовой информации (Собрание актов Президента и Правительства Российской Федерации, 1993, №15, ст.1340), в том числе имея в виду ограниченность каналов телевидения:

доводить содержание выступлений депутатов в прениях по законопроектам до сведения их избирателей, как правило, через печатные средства массовой информации;

публиковать большее число статей просветительного характера о парламентской деятельности.

Распространить положения Резолюции №820 (1984) на отношения других федеральных органов государственной власти со средствами массовой информации, в том числе установить одинаковые для всех федеральных органов следующие принципы проведения прямых теле- и радиотрансляций или вещания в записи:

необходимость получения телерадиовещательной компанией согласия на проведение трансляций с заседания соответствующего федерального органа государственной власти;

заблаговременное извещение телерадиовещательных компаний о предполагаемом рассмотрении наиболее важных вопросов, представляющих общественный интерес;

выбор времени (объема) вещания и его формы (прямое или в записи) телерадиовещательной компанией.

8. Федеральной службе России по телевидению и радиовещанию усилить контроль за строгим соблюдением телерадиовещательными организациями Закона Российской Федерации «О средствах массовой информации».

9. Указ вступает в силу с момента подписания.


Существенные права пользователям государственных информационных ресурсов дает принятый 20 февраля 1995 года Федеральный закон «Об информации, информатизации и защите информации», (принят Государственной Думой 25 января 1995 года), который закрепил право доступа физических и юридических лиц к государственным информационным ресурсам. В данном законе особо оговаривается, что за исключением специально предусмотренных законом случаев владельцы информационных ресурсов не вправе требовать обоснования необходимости получения запрашиваемой информации. При этом все пользователи информации (граждане, общественные объединения, органы государственной власти и органы местного самоуправления) наделяются равными правами доступа к государственным информационным ресурсам. Ниже приведены отдельные статьи этого закона.

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при:

формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

создании и использовании информационных технологий и средств их обеспечения;

защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации

1. Государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития Российской Федерации.

2. Основными направлениями государственной политики в сфере информатизации являются:

обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;

обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

Статья 12. Реализация права на доступ к информации из информационных ресурсов

1. Пользователи — граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения — обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом.

Доступ физических и юридических лиц к государственным информационным ресурсам является основой осуществления общественного контроля за деятельностью органов государственной власти, органов местного самоуправления, общественных, политических и иных организаций, а также за состоянием экономики, экологии и других сфер общественной жизни.

2. Владельцы информационных ресурсов обеспечивают пользователей (потребителей) информацией из информационных ресурсов на основе законодательства, уставов указанных органов и организаций, положений о них, а также договоров на услуги по информационному обеспечению.

3. Порядок получения пользователем информации (указание места, времени, ответственных должностных лиц, необходимых процедур) определяет собственник или владелец информационных ресурсов с соблюдением требований, установленных настоящим Федеральным законом.

Перечни информации и услуг по информационному обеспечению, сведения о порядке и условиях доступа к информационным ресурсам владельцы информационных ресурсов и информационных систем предоставляют пользователям бесплатно.

4. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, обеспечивают условия для оперативного и полного предоставления пользователю документированной информации в соответствии с обязанностями, установленными уставами (положениями) этих органов и организаций.

Статья 13. Гарантии предоставления информации

1. Органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес.

2. Отказ в доступе к информационным ресурсам, предусмотренным в пункте 1 настоящей статьи, может быть обжалован в суд.

3. Комитет при Президенте Российской Федерации по политике информатизации организует регистрацию всех информационных ресурсов, информационных систем и публикацию сведений о них для обеспечения права граждан на доступ к информации.

Статья 14. Доступ граждан и организаций к информации о них

1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации.

3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов на основании статей 7 и 8 настоящего Федерального закона, имеют право бесплатно пользоваться этой информацией.

4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке.

Статья 24. Защита права на доступ к информации

1. Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли — продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.

2. Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

3. Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Право граждан на доступ к информации защищено также статьей 5.39 Кодекса об административных правонарушениях от 30.12.2003 (ред. от 23.12.2003). Статья устанавливает ответственность за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации. На должностных лиц, признанных виновными в совершении указанных противоправных деяний, возлагается ответственность в виде административного штрафа в размере от пяти до десяти минимальных размеров оплаты труда.

Наиболее часто запрашивается экологическая информация. Кодекс предусматривает ответственность за сокрытие или искажение экологической информации:

Статья 8.5. Сокрытие или искажение экологической информации

Сокрытие, умышленное искажение или несвоевременное сообщение полной и достоверной информации о состоянии окружающей природной среды и природных ресурсов, об источниках загрязнения окружающей природной среды и природных ресурсов или иного вредного воздействия на окружающую природную среду и природные ресурсы, о радиационной обстановке, а равно искажение сведений о состоянии земель, водных объектов и других объектов окружающей природной среды лицами, обязанными сообщать такую информацию, — влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц — от ста до двухсот минимальных размеров оплаты труда.

Также федеральные законы «Об охране окружающей среды» от 10.01.2002 №7-ФЗ и «О санитарно эпидемиологическом благополучии населения» от 30.03.1999 №52-ФЗ предусматривают право граждан на достоверную информацию о состоянии окружающей среды, санитарно-эпидемиологической обстановке, качестве и безопасности продукции производственно-технического назначения, пищевых продуктов, товаров для личных и бытовых нужд, потенциальной опасности для здоровья человека выполняемых работ и оказываемых услуг.

Так в федеральном законе «О гидрометеорологической службе» принятом Государственной Думой 3 июля 1998 года, и одобрен Советом Федерации 9 июля 1998 года есть главы и статьи, прямо указывающие на обязанность должностных лиц информировать население о состоянии экологии.

Статья 14. Категории доступа к информации о состоянии окружающей природной среды, ее загрязнении и информационной продукции

1. Информация о состоянии окружающей природной среды, ее загрязнении и информационная продукция являются открытыми и общедоступными, за исключением информации, отнесенной законодательством Российской Федерации к категории ограниченного доступа.

Статья 16. Порядок предоставления информации о состоянии окружающей природной среды, ее загрязнении юридическими и физическими лицами

1. Юридические лица независимо от организационно — правовых форм и физические лица, осуществляющие сбор информации о состоянии окружающей природной среды, ее загрязнении, обязаны предоставлять данную информацию в специально уполномоченный федеральный орган исполнительной власти в области гидрометеорологии и смежных с ней областях в порядке, установленном Правительством Российской Федерации.

Статья 17. Условия предоставления пользователям (потребителям) информации о состоянии окружающей природной среды, ее загрязнении и информационной продукции.

1. Информация о состоянии окружающей природной среды, ее загрязнении и информационная продукция предоставляются пользователям (потребителям) бесплатно, а также на основе договоров в соответствии с настоящим Федеральным законом и законодательством Российской Федерации об охране окружающей природной среды.

2. Информация общего назначения доводится до пользователей (потребителей) в виде текстов в письменной форме, таблиц и графиков по сетям электрической и почтовой связи, через средства массовой информации в режиме регулярных сообщений или по запросам пользователей (потребителей).

4. Специально уполномоченный федеральный орган исполнительной власти в области гидрометеорологии и смежных с ней областях обязан информировать пользователей (потребителей) о составе предоставляемой информации о состоянии окружающей природной среды, ее загрязнении, о формах доведения данной информации и об организациях, осуществляющих информационное обслуживание пользователей (потребителей).


Доступ к информации граждане имеют право в самых разнообразных других областях. Например, граждане вправе иметь достоверную и полную информацию о товарах, находящихся в продаже, о состоянии экологической среды, по избирательной кампании. Право на это закреплено также в самых различных законах и законодательных актах. Так право на информацию о товарах закреплено в гражданском кодексе Российской федерации, статья 495, где регламентируются обязанности продавца по информации о товаре.

Статья 495. Предоставление покупателю информации о товаре.

1. Продавец обязан предоставить покупателю необходимую и достоверную информацию о товаре, предлагаемом к продаже, соответствующую установленным законом, иными правовыми актами и обычно предъявляемым в розничной торговле требованиям к содержанию и способам предоставления такой информации.

2. Покупатель вправе до заключения договора розничной купли-продажи осмотреть товар, потребовать проведения в его присутствии проверки свойств или демонстрации использования товара, если это не исключено ввиду характера товара и не противоречит правилам, принятым в розничной торговле.

3. Если покупателю не предоставлена возможность незамедлительно получить в месте продажи информацию о товаре, указанную в пунктах 1 и 2 настоящей статьи, он вправе потребовать от продавца возмещения убытков, вызванных необоснованным уклонением от заключения договора розничной купли-продажи (пункт 4 статьи 445), а если договор заключен, в разумный срок отказаться от исполнения договора, потребовать возврата уплаченной за товар суммы и возмещения других убытков.

4. Продавец, не предоставивший покупателю возможность получить соответствующую информацию о товаре, несет ответственность и за недостатки товара, возникшие после его передачи покупателю, в отношении которых покупатель докажет, что они возникли в связи с отсутствием у него такой информации.

Кроме того, правительство России 12 февраля 2003 года приняло Постановление №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти». Согласно Постановлению федеральные органы исполнительной власти обязаны обеспечить доступ граждан и организаций к информации о своей деятельности, за исключением сведений, отнесенных к информации ограниченного доступа, путем создания информационных ресурсов в соответствии с перечнем, утвержденным настоящим Постановлением, и размещения их в информационных системах общего пользования.

Следует иметь в виду, что нормативные правовые акты, закрепляющие права граждан по производству, распространению, поиску, получению и передаче информации, принимаются и на уровне субъектов Российской Федерации.

Так, в Волгоградской области принят Закон от 28 января 2003 года №782-ОД «О порядке предоставления информации органами государственной власти Волгоградской области». Он во многом повторяет положения принятого в 2002 году Закона Калининградской области «О порядке предоставления информации органами государственной власти Калининградской области»[. При этом калининградский закон содержит отдельную главу, в которой устанавливается порядок предоставления документов и материалов на основании запроса.

Владимирская область пошла по пути законодательного закрепления порядка доступа к информации, касающейся отдельных направлений деятельности органов власти. Так, в 2003 году был принят Закон «О порядке информирования граждан, их объединений и юридических лиц о градостроительной деятельности на территории Владимирской области».

Закон города Москвы от 24 октября 2001 года «Об информационных ресурсах и информатизации города Москвы» [определяет перечень информационных ресурсов, находящихся в собственности г. Москвы, их правовой режим, а также порядок их формирования.

Постановление Правительства Москвы от 7 октября 2003 года «Об обеспечении доступности информации о деятельности Правительства Москвы, городских органов исполнительной власти и городских организаций» утверждает перечень предприятий города, для которых создание и ведение информационных ресурсов является обязательным, также утверждается перечень сведений о деятельности Правительства Москвы и комплексов городского управления, подлежащих обязательному размещению в общедоступных информационных ресурсах в сети Интернет.

2.3 Ответственность за нарушение прав на информацию

За нарушение прав на информацию законодательство российской Федерации предусматривает достаточно жесткие меры наказания. Так отдельные статьи Уголовного кодекса РФ, вступившая в силу в мае 1996 года, предусматривают солидные штрафы, обязательные работы и вплоть до тюремного заключения.

Глава 19. Статья 137. Нарушение неприкосновенности частной жизни.

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, — наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до четырех лет.

3. Незаконные производство, сбыт или приобретение специальных технических средств, предназначенных для негласного получения информации, —

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом —

наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, —

наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо лишением свободы на срок до трех лет.

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, — наказываются лишением свободы на срок до десяти лет.

В разделе IX. Преступления против общественной безопасности имеется глава 28. «Преступления в сфере компьютерной информации». Она содержит три статьи: 272, 273, 274.

Статья 272. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в элект­ронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, ес­ли это деяние повлекло уничтожение, блокирование, модификации либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —

наказывается штрафом в размере от двухсот до пятисот мини­мальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до од­ного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительно­му сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, — наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, — наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие послед­ствия, — наказывается лишением свободы на срок до четырех лет.

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Вот некоторые из этих определений:

· информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

· документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

· информационные процессы — процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

· информационная система — организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

· информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

· информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

· конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

· пользователь (потребитель) информации — субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.

Статья 21. Защита информации

1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

в отношении персональных данных — федеральным законом.

4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Статья 22. Права и обязанности субъектов в области защиты информации

1. Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с настоящим Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Статья 23. Защита прав субъектов в сфере информационных процессов и информатизации

1. Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

3. За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией.

Кроме приведенных законов, также существенную роль сейчас играет Федеральный закон «О персональных данных», вступивший в силу 26 января 2007 года. В этом законе сформулированы требования по защите персональных данных. Важно отметить, что требования данного закона являются обязательными и для коммерческих, и для государственных организаций. При этом, согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Наиболее важные статьи его указывают на следующее.

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.


Кроме того, стоит отметить, что Федеральный закон «О персональных данных» не является единственным нормативно-правовым актом, регламентирующим положение о персональных данных. Существует ряд документов, к которым относятся: Постановление правительства РФ от 17 ноября 2007 года №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и нормативные и методические документы ФСТЭК и ФСБ России. Согласно этим документам, обеспечение безопасности персональных данных является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем

Работа субъектов с информацией может также иметь ограничения, связанные со специальными задачами информационной безопасности. Такие ограничения могут иметь место в соответствии с законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 года №128-ФЗ (Принят Государственной Думой 13 июля 2001 года).

Приведу основные определения этого закона.

«Лицензия — специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности — вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование — мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензирующие органы — федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом.

Лицензиат — юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.»

Статья 12 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Наиболее важные в сфере защиты информации:

· распространение шифровальных (криптографических) средств;

· техническое обслуживание шифровальных (криптографических) средств;

· техническое обслуживание шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;

· выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

· разработка и (или) производство средств защиты конфиденциальной информации;

· техническая защита конфиденциальной информации;

· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:

· деятельность, связанная с защитой государственной тайны;

· деятельность в области связи;

· образовательная деятельность.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламентированы соответствующими указами Президента и постановлениями Правительства РФ, которые здесь перечисляться не будут.

Законодательно также защищаются в любой форме объекты авторского права. Так, произведение, размещённое в Ин­тернете, отвечает всем признакам объ­екта авторского права: оно, во-пер­вых, является результатом творческой деятельности, независимо от назна­чения и достоинства произведения, а также от способа его выражения; во-вторых, закреплено в объективной форме — в письменной форме (тек­стовые файлы и web-страницы) и в форме изображений.

Российское законодательство отвечает всем принципам международных соглашений об авторском праве. Оно включает разнообразные формы его защиты. В самом общем виде интересы собственников информации защищает Конституция Российской Федерации, ст. 44—1, в которой указывается, что “ Каждому гарантируется свобода литературного, художественного, научного, технического и других ви­дов творчества, преподава­ния. Интеллектуальная соб­ственность охраняется законом».

Детально авторское право регулируется Зако­ном РФ от 9 июля 1993 г. «Об авторском праве и смежных правах».

Авторское право — это часть гражданского права, кото­рое регулирует порядок использования произведений ли­тературы, науки и искусства. Объектами авторского пра­ва признаются также программы для компьютеров и электронные базы данных.

Охраняемое произведение должно быть результатом творческого труда, продуктом интеллектуальной деятель­ности человека, оригинальным, отмеченным индивиду­альностью автора. Результаты интеллектуальной деятель­ности называют интеллектуальной собственностью.

Субъектами авторского права, т. е. лицами, обладающими исключительным правом на произведение, счита­ются прежде всего авторы произведений. Правооблада­телями также могут быть различные компании, приобретающие право на коммерческое использование произведения, или наследники автора.

Авторские права делятся на личные неимущественные и имущественные права. Из неимущественных прав ав­тору принадлежат:

■право авторства — право признаваться автором про­изведения;

■право на имя — право использовать или разрешать использовать произведение под именем автора или его псевдонимом;

■право на обнародование — право обнародовать или разрешать обнародовать произведение в любой форме;

■право на защиту репутации автора, право на защиту произведения, включая его название, от всякого искаже­ния или иного посягательства, способного нанести ущерб чести и достоинству автора.

Личные неимущественные права принадлежат автору независимо от его имущественных прав и сохраняются за ним, например, даже в случае передачи исключитель­ных прав на публикацию произведения.

К имущественным правам автора относятся:

· право на воспроизведение;

· право на распространение;

· право на импорт;

· право на перевод;

· право па публичный показ;

· право на публичное исполнение;

· право на передачу в эфир;

· право на сообщение для всеобщего сведения по ка­белю (т. е. передавать произведение, включая показ, ис­полнение или передачу в эфир, для всеобщего сведения по кабелю, проводам или с помощью других аналогичных средств).

Авторское право действует в течение всей жизни ав­тора и 50 лет после его смерти. По истечении срока охра­ны произведение переходит в общественное достояние, его можно использовать, не спрашивая разрешения. Пра­во авторства, право на имя и право на защиту репутации автора охраняются бессрочно.

За наруше­ние авторских прав наступает гражданская, уголовная и административная ответственность, предусмотренная в уголовном кодексе, ст.146.

Статья 146. Нарушение авторских и смежных прав

1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю, —

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от трех до шести месяцев.

(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, —

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок до двух лет.

(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

3. Деяния, предусмотренные частью второй настоящей статьи, если они совершены:

б) группой лиц по предварительному сговору или организованной группой;

в) в особо крупном размере;

г) лицом с использованием своего служебного положения, —

наказываются лишением свободы на срок до пяти лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.

Объектами авторского пра­ва признаются также программы для компьютеров и электронные базы данных. Сегодня компьютерные программы (редакторы, компилято­ры, базы данных) приобрели значе­ние товарной продукции. Например, база данных — это объективная фор­ма представления и организации со­вокупности данных (статьи, расчёты и пр.), систематизированных таким образом, чтобы они могли быть най­дены и обработаны с помощью ЭВМ.

Авторское право на компьютерные программы охраняет За­кон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г. Закон признает авторское право на любые программы для ЭВМ и базы данных.

Статья 3. Объект правовой охраны

1. Авторское право распространяется на любые программы для ЭВМ и базы данных, как выпущенные, так и не выпущенные в свет, представленные в объективной форме, независимо от их материального носителя, назначения и достоинства.

2. Авторское право распространяется на программы для ЭВМ и базы данных, являющиеся результатом творческой деятельности автора (соавторов). Творческий характер деятельности автора (соавторов) предполагается до тех пор, пока не доказано обратное.

3. Предоставляемая настоящим Законом правовая охрана распространяется на все виды программ для ЭВМ (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код.

4. Предоставляемая настоящим Законом правовая охрана распространяется на базы данных, представляющие собой результат творческого труда по подбору и организации данных. Базы данных охраняются независимо от того, являются ли данные, на которых они основаны или которые они включают, объектами авторского права.

Независимо от формы своего выра­жения программы и базы данных за­щищаются так же, как и произведения литературы.

В отличие от материальной соб­ственности, объекты интеллектуаль­ной собственности, в том числе и компьютерные программы, покупа­тели могут использовать лишь на особых условиях, устанавливаемых автором. При этом в собственность покупателя переходит только носи­тель информации, например ком­пакт-диск, на котором программа за­писана. Однако покупатель вправе без согласия правообладателя и без выплаты ему дополнительного воз­награждения изготавливать копии программы при условии, что они предназначены исключительно для архивных целей.

Экземпляры произведения или программы, изготовле­ние или распространение которых влечёт за собой нару­шение авторских прав, называются по закону контрафакт­ными (от фр. contrefacon — «подделка»). В обиходе же часто употребляется термин «пиратская копия» (от англ. piracy — «нарушение авторского права»). Обладатели ав­торских прав могут обратиться за зашитой в суд, и впра­ве требовать от нарушителя признания прав автора; вос­становления положения, существовавшего до нарушения права, и прекращения действий, нарушающих право или создающих угрозу его нарушения; возмещения убытков, включая упущенную выгоду; взыскания дохода, получен­ного нарушителем вследствие нарушения авторских и смежных прав; выплаты компенсации в сумме от 10 до 50 тыс. минимальных размеров оплаты труда (МРОТ). Кон­трафактные экземпляры произведений подлежат конфи­скации и уничтожению.

В соответствии со статьями Кодекса Российской Феде­рации об административных правонарушениях незакон­ное использование контрафактных экземпляров влечёт наложение на граждан административного штрафа в раз­мере от 15 до 20 МРОТ.

Этот же кодекс предусматривает наказание за незаконную работу с защитой информации.

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) —

влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц — от пяти до десяти минимальных размеров оплаты труда; на юридических лиц — от пятидесяти до ста минимальных размеров оплаты труда.

Статья 13.12. Нарушение правил защиты информации

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), —

влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц — от пяти до десяти минимальных размеров оплаты труда; на юридических лиц — от пятидесяти до ста минимальных размеров оплаты труда.

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), —

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц — от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.

3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, —

влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц — от ста пятидесяти до двухсот минимальных размеров оплаты труда.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, —

влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц — от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

Статья 13.13. Незаконная деятельность в области защиты информации.

1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), —

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц — от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц — от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии —

влечет наложение административного штрафа на должностных лиц в размере от сорока до пятидесяти минимальных размеров оплаты труда; на юридических лиц — от трехсот до четырехсот минимальных размеров оплаты труда с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, —

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.

Статья 13.16. Воспрепятствование распространению продукции средства массовой информации

Воспрепятствование осуществляемому на законном основании распространению продукции средства массовой информации либо установление незаконных ограничений на розничную продажу тиража периодического печатного издания —

влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц — от пяти до десяти минимальных размеров оплаты труда; на юридических лиц — от пятидесяти до ста минимальных размеров оплаты труда.

Защита государственной тайны также обеспечивается законодательно. Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации «О безопасности», включает Закон «О защите государственной тайны», а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны.

В Законе «О защите государственной тайны» дается перечень сведений, составляющих государственную тайну

Статья 5. Перечень сведений, составляющих государственную тайну

Государственную тайну составляют:
1) сведения в военной области:
о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, предусмотренных Федеральным законом «Об обороне», об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов; о планах строительства Вооруженных Сил Российской Федерации, других войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники;
о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов, используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения;
о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения;
о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов; о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состояния их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке;
2) сведения в области экономики, науки и техники:
о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов; об использовании инфрастуктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства;
о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства;
об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции;
о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства;
об объемах запасов, добычи, передачи и потребления платины, металлов платиновой группы, природных алмазов, а также об объемах других стратегических видов полезных ископаемых Российской Федерации (по списку, определяемому Правительством Российской Федерации); 3) сведения в области внешней политики и экономики:
о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства;
о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства; 4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:
о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;
о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность; об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;
о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения;
о методах и средствах защиты секретной информации;
об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации;
о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации;
о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

В части международных соглашений в области защиты информации следует указать на постановление Межпарламентской Ассамблеи государств — участников Содружества Независимых Государств N 19—7 «О модельном законе «О международном информационном обмене», в котором в частности указывается:

Статья 1. Цели и сфера действия настоящего Закона

1. Цели настоящего Закона — создание условий для эффективного участия стран СНГ в международном информационном обмене в рамках единого мирового информационного пространства, защита их интересов при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

2. Международный обмен конфиденциальной информацией, массовой информацией осуществляется в порядке, устанавливаемом национальным законодательством.

Статья 3. Объекты и субъекты международного информационного обмена

1. Объекты международного информационного обмена — это документированная информация, информационные ресурсы, информационные продукты, информационные услуги, средства международного информационного обмена.

2. Субъектами международного информационного обмена могут являться: государство, органы государственной власти и органы местного самоуправления, физические и юридические лица, физические и юридические лица иностранных государств, лица без гражданства.

Статья 4. Обязанности государства в сфере международного информационного обмена

Органы государственной власти:

— создают условия для обеспечения государства, муниципальных образований, физических и юридических лиц иностранными информационными продуктами и информационными услугами, в том числе с использованием глобальных информационных сетей;

— обеспечивают своевременное и достаточное пополнение государственных информационных ресурсов иностранными информационными продуктами;

— содействуют внедрению современных информационных технологий, обеспечивающих эффективное участие государства, муниципальных образований, физических и юридических лиц в международном информационном обмене;

— обеспечивают защиту государственных информационных ресурсов государства, муниципальных и частных информационных ресурсов, средств международного информационного обмена и соблюдение правового режима информации;

— стимулируют расширение взаимовыгодного международного информационного обмена документированной информацией и охраняют законные интересы государства, муниципальных образований, физических и юридических лиц;

— создают условия для защиты отечественных собственников и владельцев документированной информации, информационных ресурсов, информационных продуктов, средств международного информационного обмена, пользователей от некачественной и недостоверной иностранной информации, недобросовестной конкуренции со стороны физических и юридических лиц иностранных государств в информационной сфере;

— способствуют развитию товарных отношений при международном информационном обмене.

Статья 5. Участие муниципальных образований в международном информационном обмене

1. Муниципальные образования участвуют в международном информационном обмене в качестве субъектов права, представляющих интересы населения муниципальных образований по вопросам, отнесенным к предметам ведения местного самоуправления.

Правом выступать от имени муниципальных образований по вопросам международного информационного обмена обладают органы местного самоуправления в рамках их полномочий, установленных нормативными правовыми актами, определяющими статус этих органов.

2. Муниципальные информационные службы и средства массовой информации муниципальных образований вправе самостоятельно участвовать в международном информационном обмене.

Данный закон в российской Федерации принят Государственной Думой 5 июня 1996 года.

Следует также указать на другой международный документ по обмену информацией, это Окинавская хартия глобального информационного общества. Принята 22 июля 2000 года лидерами стран «Большой Восьмерки». В ней в частности указывается:

1. Информационно-коммуникационные технологии (ИКТ) являются одним из наиболее важных факторов, влияющих на формирование общества двадцать первого века. Их революционное воздействие касается образа жизни людей, их образования и работы, а также взаимодействия правительства и гражданского общества. ИКТ быстро становятся жизненно важным стимулом развития мировой экономики. Они также дают возможность всем частным лицам, фирмам и сообществам, занимающимся предпринимательской деятельностью, более эффективно и творчески решать экономические и социальные проблемы. Перед всеми нами открываются огромные возможности.

2. Суть стимулируемой ИКТ экономической и социальной трансформации заключается в ее способности содействовать людям и обществу в использовании знаний и идей. Информационное общество, как мы его представляем, позволяет людям шире использовать свой потенциал и реализовывать свои устремления. Для этого мы должны сделать так, чтобы ИКТ служили достижению взаимодополняющих целей обеспечения устойчивого экономического роста, повышения общественного благосостояния, стимулирования социального согласия и полной реализации их потенциала в области укрепления демократии, транспарентного и ответственного управления международного мира и стабильности.

3. Стремясь к достижению этих целей, мы вновь подтверждаем нашу приверженность принципу участия в этом процессе: все люди повсеместно, без исключения должны иметь возможность пользоваться преимуществами глобального информационного общества. Устойчивость глобального информационного общества основывается на стимулирующих развитие человека демократических ценностях, таких как, свободный обмен информацией и знаниями, взаимная терпимость и уважение к особенностям других людей.

4. Мы будем осуществлять руководство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы, стимулирующих конкуренцию и новаторство, обеспечения экономической и финансовой стабильности, содействующих сотрудничеству по оптимизации глобальных сетей, борьбе со злоупотреблениями, которые подрывают целостность сети, по сокращению разрыва в цифровых технологиях, инвестированию в людей и обеспечению глобального доступа и участия в этом процессе.

5. Настоящая Хартия является прежде всего призывом ко всем как в государственном, так и в частном секторах, ликвидировать международный разрыв в области информации знаний. Солидная основа политики и действий в сфере ИКТ может изменить методы нашего взаимодействия по продвижению социального и экономического прогресса во всем мире. Эффективное партнерство среди участников, включая совместное политическое сотрудничество, также является ключевым элементом рационального развития информационного общества.

Существует также Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных, в которой указано, что целью настоящей Конвенции является усиление защиты данных, точнее говоря, правовая защита личности при автоматической обработке персональной информации.

Необходимость таких правовых норм объясняется ростом использования компьютерной техники для целей управления. По сравнению с обработкой документации вручную автоматизированные базы данных имеют несоизмеримо большую накопительную способность и создают возможности для значительно более широкого набора операций, которые осуществляются с большой скоростью.

В ближайшие годы предполагается дальнейший рост автоматической обработки данных в сфере управления как следствие снижения издержек по обработке информации, доступности обрабатывающих устройств и создания нового телекоммуникационного оборудования для передачи информации.

«Информационная власть» обязывает пользователей данных как в частном, так и в публичном секторах к соответствующей социальной ответственности. В современном обществе многие решения, затрагивающие личность, принимаются на основе информации, накапливаемой в компьютеризированных базах данных: платежных ведомостях, документах по социальному обеспечению, историях болезни и т. п. Важно, чтобы те, кто отвечает за такие базы данных, смогли бы обеспечить положение, при котором неоспоримые достижения, которых можно добиться с помощью автоматической обработки данных, не привели бы в то же время к ослаблению позиции тех лиц, сведения о которых накапливаются. Это обязывает их придерживаться требований, касающихся качественных характеристик вверенной им информации, воздерживаться от накопления информации, которая не является необходимой для поставленной цели, принимать меры против несанкционированного раскрытая или злоупотребления информацией и охранять данные, оборудование и программное обеспечение от физического повреждения.

Существующие правовые системы государств — членов Совета Европы не в полной мере отвечают правилам, которые могли бы помочь достижению этих целей. Хотя у них есть законы о неприкосновенности личной сферы, обязательствах, вытекающих из причинения вреда, секретности или конфиденциальности определенной информации, тем не менее ощущается отсутствие общих правил, регламентирующих накопление и использование персональной информации и, в особенности, по вопросу о том, каким образом лицо может осуществлять контроль над информацией о нем, которая собирается и используется другими лицами.

Немало есть и национальных законов в разных странах по защите информации.

2 ОРГАНИЗАЦИОННЫЕ МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему. Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационное обеспечение заключается в регламентации взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к информации становится невозможным или будет существенно затруднен за счет проведения организационных мероприятий. К основным организационным и режимным мероприятиям относятся:

— привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;

— категорирование и аттестация объектов технических средств передачи информации (ТСПИ) и выделенных для проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

— использование на объекте сертифицированных ТСПИ и вспомогательных технических средств и систем (ВТСС);

— установление контролируемой зоны вокруг объекта;

— привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;

— организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;

— введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

— отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т. д.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно также отнести:

· организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

· организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;

· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

Основные организационные мероприятия по созданию и поддержанию функционирования комплексной системы защиты включают:

· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

· периодически проводимые мероприятия;

· постоянно проводимые мероприятия.

Разовые мероприятия. К разовым мероприятиям относят:

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

· разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

· внесение необходимых изменений и дополнений во все организационно-распорядительные документы;

· оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе;

· определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

· мероприятия по разработке правил управления доступом к ресурсам системы;

· организацию надежного пропускного режима;

· определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

· создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности;

Периодически проводимые мероприятия. К периодически проводимым мероприятиям относят:

· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

· анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

· мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

Мероприятия, проводимые по необходимости. К мероприятиям, проводимым по необходимости, относят:

· мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

· мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

· мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия. Постоянно проводимые мероприятия включают:

· мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

· мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

· явный и скрытый контроль за работой персонала системы;

· контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

· постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

3.1 Кадрово-организационные меры безопасности

В последнее время проблема кадрового обеспечения информационной безопасности привлекает к себе повышенное внимание. Эффективное развитие любого региона, да и всей страны в целом, невозможно без создания в государственных или иных структурах пользователей подлежащей защите информации специальных служб защиты, укомплектованных высококвалифицированными кадрами.

Сотрудники — не только основной актив компании, но и главный источник потенциальных угроз для нее. Поэтому обеспечение комплекса мер по предотвращению рисков и опасностей, связанных с людьми, их деятельностью, — важнейшая задача службы управления персоналом. Невнимание к этим проблемам может привести к огромным потерям, поставить компанию на грань разорения. Служба управления персоналом обязана защитить информацию компании от угроз, возникающих с приходом в нее нечестных, недобросовестных работников, а возможно, и потенциальных злоумышленников.

Для начала нужно решить, что лучше: взять человека со стороны или закрыть образовавшуюся вакансию кем-либо из сотрудников компании. Первый вариант позволяет выбирать из более широкого круга претендентов. Однако он более опасен (особенно, если мы говорим о руководящей должности). Выдвижение на вакантную должность кандидата из числа сотрудников предприятия и легче, и не столь рискованно, хотя возможностей для выбора меньше. При грамотном, разумном использовании внутренних человеческих ресурсов можно значительно уменьшить количество работников, привлеченных извне.

Когда принято решение привлекать кандидатов извне, возникает вопрос о методе поиска. Один из каналов — рекомендации родственников и друзей сотрудников предприятия, их знакомых и т. д. Даже в западных странах, где рынок рекрутинга развит очень хорошо, до 40% специалистов привлекаются благодаря использованию внутрифирменных источников информации. При таком методе поиска значительно упрощается проверка кандидата, к тому же у сотрудника-«рекомендателя» появляется чувство ответственности за приглашенного человека. В конфликтной или спорной ситуации это может оказаться очень кстати.

Привлечение людей со стороны — так называемый «открытый» поиск неизбежно ставит вопросы, связанные с проблемами безопасности. Например, выбор рекрутингового агентства. Неосмотрительность в этом вопросе опасна: аналитикам из конкурирующих организаций будут крайне любопытны многие данные из ваших кадровых заявок. К примеру, их заинтересует, в специалистах каких профессий, какой квалификации, в каком количестве и как срочно нуждается ваша компания.

С точки зрения обеспечения кадровой безопасности важными задачами являются:

· получение полных данных о кандидате;

· установление компрометирующих обстоятельств, предшествующей деловой жизни кандидата;

· определение достоверности представленных кандидатом сведений.

На этапе анкетирования вам крайне необходимо выявить все компрометирующие кандидата факты его биографии и определить степень достоверности представленных им сведений и документов. Без ряда вопросов «о жизни» тут не обойтись. Какие вопросы допустимо задавать кандидату? Любые. Однако не следует забывать о профессиональной этике. Итак, вы можете испросить у кандидата:

· данные о судимости и нахождении под следствием, об административных взысканиях, ограничениях правоспособности, о дисквалификации;

· сведения о существующих финансовых зависимостях (кредиты, ссуды, займы, долговые расписки, алименты);

· сведения о собственности (движимое и недвижимое имущество), а также о том, является ли кандидат учредителем (акционером, участником) юридических лиц и/или общественных организаций;

· данные о родственниках (особое внимание надо уделить родственникам, работающим в конкурирующих компаниях);

· сведения о семейном положении;

· уровень владения компьютером (сведения о навыках программирования могут быть интересны с точки зрения информационной безопасности компании в случае возникновения конфликтной ситуации при увольнении сотрудника);

· отношение к религии, в том числе членство в запрещенных (или деструктивных) сектах;

· сведения о состоянии здоровья (состоит ли на учете в диспансерах и др.).

Знать ответы на эти вопросы жизненно необходимо. В частности для того, чтобы проверить искренность будущего работника, достоверность полученных данных и иметь возможность прогнозировать его благонадежность.

При проверке документов следует быть внимательным, проверять на подделки. Среди наиболее распространенных способов подделки: внесение изменений в подлинный документ путем подчисток, дописок, травлений; замена фотографии или отдельных страниц документа. При внимательной проверке удается обнаружить несоответствия в нумерации (страницы, серия и номер), в степени загрязненности, в размере и цвете листов; наличие лишних и не совпадающих проколов от скрепок,

Не стоит стесняться рассматривать паспорт со всех сторон, даже за обложкой. Вас должны насторожить:

· несоответствие личной подписи в паспорте личным подписям в других документах;

· различия в данных о семейном положении, количестве детей, указанном в паспорте и в анкете;

· несовпадение места регистрации проживания и места фактического проживания;

· отметки милиции (в виде указания мелким почерком где-нибудь в уголочке номера статьи Уголовного кодекса, по которой осужден владелец документа);

· наличие или отсутствие записи об отношении к военной службе.

И внешние характеристики и рекомендации как компетентное и независимое мнение о кандидате всегда полезны, особенно если получены вовремя. Приведем несколько простых советов:

· обязательно проверяйте, действительно ли кандидат работал в указанной организации, правильно ли он указал свою предыдущую должность и срок работы в ней;

· проясняйте только ту информацию о кандидате, которая непосредственно связана с его служебной деятельностью;

· гарантируйте (и обеспечивайте) конфиденциальность рекомендательных писем;

· уточняйте факты, содержащиеся в рекомендательных письмах, и те, которые кандидат привел в ходе интервью (например, размер заработной платы и дополнительных вознаграждений, функциональные обязанности, сферы ответственности, достижения, сильные и слабые стороны кандидата, рабочие привычки, модели поведения);

· точно фиксируйте все ответы, полученные при проверке рекомендаций кандидата;

· старайтесь минимизировать риски. (К дополнительным рискам следует отнести информацию о том, что кандидат испытывал трудности, связанные с национальностью, полом, какой-либо формой неполноценности, с политическими или религиозными убеждениями или наличием судимости.)

Весь процесс поиска и отбора кандидатов (часто сложный и длительный) служба по управлению персоналом проводит в тесном взаимодействии со службой безопасности компании. Каждая из служб делает свою часть работы. К решению каких вопросов менеджеры по персоналу могут привлекать сотрудников службы безопасности? Для прояснения любых сомнений (а тем более подозрений) по поводу личности соискателя, его поведения, представленных им документов или сообщенных сведений. Для проведения проверок, например:

· по «милицейским» учетам (судимости, существенные административные взыскания, утеря паспорта, наличие розыскных дел и пр.);

· регистрации по месту жительства (пребывания);

· кредитной истории (через службы безопасности или кредитные отделы банков, предоставляющих потребительские и иные кредиты);

· на наличие связей в криминальной среде, в том числе через родственников;

· наличия недвижимого и движимого имущества (в том числе на соответствие заявленным);

· участия в капитале (учреждение, акционирование) юридических лиц (коммерческих или общественных организаций);

· представляемых документов.

В целом, людей, непосредственно связанных с хранящейся в ЭВМ информацией, можно разделить по уровню её использования и опасности доступа на три группы.

1.Системные программисты.

Досконально знают устройство и принципы работы ЭВМ, способны использовать в своих целях все её ресурсы. В основном создают «средства производства» (инструментальные и языковые), т. е. ОС, системные утилиты, трансляторы, СУБД, интегрированные пакеты, оболочки экспертных систем, пакеты графики (в том числе средства защиты ПО и средства её снятия).Эта категория наиболее опасна, так как от них скрыть информацию почти не возможно.

2.Разработчики прикладного ПО.

Пользуясь продукцией системных программистов — «средствами производства», создают «предметы потребления», т. е. системы реального применения — базы данных, электронные таблицы под конкретные заказы, экспертные системы. Они владеют методами программирования и пишут программы, как правило, на языках высокого уровня: Си, Паскале, Прологе, Бейсике, и входных языках СУБД. Эта категория менее опасна, так как они работают в основном уже созданными программами.

3. Пользователи. В системах, разработанных прикладными программистами, используют программы для получения разного рода информации и вычислительных услуг. Пользователи практически не связаны с программированием. Эта категория наименее опасна, так как не владеют программированием. Однако, эта категория представляет опасность от неумелых действий.

3.2 Режимно-административные меры безопасности

Определяют порядок доступа к информации путём установления перечня лиц, допущенных к ней и условия этого допуска специальным приказом руководителя. Включают в себя:

1. Заключение договора с сотрудниками о нераспространении конфиденциальной информации.

2. Установление уровня секретности информации.

3.Назначение ответственного за информационную безопасность.

4.Устанавливается система изменения паролей.

5.Заведение специальных журналов регистрации пользователей.

6.Разработку специальных процедур пользования конфиденциальной информацией, её хранение и выдача специальных пропусков.

В целом ответственность за соблюдение информационной безопасности несет каждый сотрудник компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив. Главные цели безопасности информации не могут быть достигнуты без перечисленных мер безопасности.

Одной из важнейших составляющих информационной безопасности является политика информационной безопасности, о которой должен быть хорошо информирован каждый сотрудник организации или предприятия.

Политика информационной безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

• невозможность миновать защитные средства;

• усиление самого слабого звена;

• невозможность перехода в небезопасное состояние;

• минимизация привилегий;

• разделение обязанностей;

• эшелонированность обороны;

• разнообразие защитных средств;

• простота и управляемость информационной системы;

• обеспечение всеобщей поддержки мер безопасности.

Поясним смысл перечисленных принципов. Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Применительно к межсетевым экранам данный принцип означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть «тайных» модемных входов или линий, идущих в обход экрана.

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства и т. д.

Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

Последний принцип — всеобщая поддержка мер безопасности — носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Как правило, следует придерживаться принципа «все, что не разрешено, запрещено», поскольку «лишний» сетевой сервис может предоставить канал проникновения в корпоративную систему. В принципе, ту же мысль выражает положение «все непонятное опасно».

Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки руководству.

Требования настоящей политики информационной безопасности распространяются на всю информацию и ресурсы обработки информации предприятия. Соблюдение настоящей политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей политики информационной безопасности.

Кроме политики безопасности, необходимыми мерами для организации комплексной системы защиты информации является разработка следующих групп организационно-распорядительных документов:

· документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);

· документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

План защиты информации в АС должен содержать следующие сведения:

· описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;

· цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;

· перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба;

· основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации;

· требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

· основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).

План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:

· цель обеспечения непрерывности процесса функционирования АС, своевременность восстановления ее работоспособности и чем она достигается;

· перечень и классификация возможных кризисных ситуаций;

· требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

· обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.

Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:

· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

· определение порядка разрешения споров в случае возникновения конфликтов.

3.3 Контроль доступа к информационным системам

Бесплатный фрагмент закончился.

Купите книгу, чтобы продолжить чтение.