Правовые технологии обеспечения информационной безопасности
Цели обеспечения информационной безопасности
Как уже упоминалось, при переходе от индустриального общества к информационному наряду с традиционными ресурсами — материальными, энергетическими, техническими и др.
— резко возрастает роль ресурсов информационных и интеллектуальных. Знания и информация становятся стратегическим ресурсом общества, определяющим перспективы его экономического, социального, культурного развития в новом тысячелетии. Кроме того, информационные ресурсы — объект собственности конкретных юридических и физических лиц, они нуждаются в защите, обеспечении правового режима их владения, распоряжения и пользования.Особое место отводится информационным ресурсам в условиях рыночной экономики. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установлено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль.
Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер.
В соответствии с Законом РФ от 25 января 1995 г. «Об информации, информатизации и защите информации» целями обеспечения информационной безопасности являются:
· предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
· предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
· обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.
Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
· законодательного (законы, нормативные акты, стандарты и т.п.);
· административного (действия общего характера, предпринимаемые руководством организации);
· процедурного (конкретные меры безопасности, имеющие дело с людьми);
· программно-технического (конкретные технические меры).
Законодательные основы обеспечения информационной безопасности
На законодательном уровне закладываются общие предпосылки для обеспечения безопасности. Так, Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом — ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы, — ст. 24, ч. 2).
На законодательном уровне различают две группы мер: направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовного кодекса, в которой достаточно полно охарактеризованы основные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко.
Закон «Об информации, информатизации и защите информации» также можно причислить к этой группе. Важнейшими элементами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и включение их в состав имущества (ст.
6). В отношении этих объектов установлены:· основы правового режима информационных ресурсов (ст. 4);
· состав государственных информационных ресурсов (ст. 7) и порядок их формирования (ст. 8);
· режимы доступа к информационным ресурсам (ст. 10) и порядок их использования (ст. 12, 13);
· порядок использования информации о гражданах (персональные данные) как части государственных информационных ресурсов (ст. 11, 14);
· порядок сертификации информационных систем, технологий, средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов (ст. 19);
· принципы защиты информации и прав субъектов в области информатизации (ст. 20, 21, 22, 23 и 24).
Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безусловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных отношений.
Ко второй группе — направляющих и координирующих законов и нормативных актов — относится пакет документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации.
В связи с этим стоит упомянуть Указ Президента РФ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на:
· использование государственными организациями и предприятиями шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФАПСИ, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ;
· деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией указанных технических и шифровальных средств и предоставлением соответствующих услуг без лицензий, выданных ФАПСИ;
· ввоз на территорию РФ шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей РФ, выданной по согласованию с ФАПСИ.
Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламентирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам».
В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующими ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от несанкционированного доступа к информации»; ГОСТ Р 3410-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Термины и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.
Международно-правовые аспекты обеспечения информационной безопасности
В мире глобальных сетей нормативно-правовая база должна разрабатываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций. Вторая (более существенная) — доминирование аппаратно-программных продуктов зарубежного производства.
Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
* ПЭМИН — побочные электромагнитные излучения и наводки.
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она может быть успешно решена. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и информационной безопасностью без снижения уровня национальной безопасности.
Главное же, чего не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответствующих задач, скоординировать научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются лишь интеллектуальные вложения.
Пример позитивного законодательства — Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности. Более 60% крупных организаций используют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагающий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных документов.
В заключение перечислим перспективные направления законодательной деятельности государства в области обеспечения информационной безопасности:
· разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
· ориентация на созидательные, а не карательные законы;
· интеграция в мировое правовое пространство;
· учет современного состояния информационных технологий.
Еще по теме Правовые технологии обеспечения информационной безопасности:
- ТЕХНОЛОГИИ И ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- Процедурные технологии обеспечения информационной безопасности
- Методы обеспечения информационной безопасности России
- Криптографические методы обеспечения информационной безопасности
- Особенности обеспечения информационной безопасности в сфере внешней политики
- Информационное обеспечение
- 3.3 Информационное обеспечение управления регионом
- Глава 24. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
- Требования к информационному и техническому обеспечению
- 24. Правовое обеспечение системы управления персоналом
- ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ПОЛИТИЧЕСКОГО АНАЛИЗА И ПРОГНОЗИРОВАНИЯ
- 17. Информационное обеспечение системы управления персоналом
- 1. Информационные технологии в принятии решений
- Использование информационных технологий в управлении
- Особенности технологий на информационном рынке
- Конституционно-правовые технологии
- 3. Компьютерные технологии на информационном политическом рынке
- Факторы формирования информационных технологий