Правовые технологии обеспечения информационной безопасности

Цели обеспечения информационной безопасности

Как уже упоминалось, при перехо­де от индустриального общества к информационному наряду с тради­ционными ресурсами — материальными, энергетическими, техническими и др.

Особое место отводится информационным ресурсам в услови­ях рыночной экономики. В конкурентной борьбе широко распро­странены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установ­лено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль.

Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер.

В соответствии с Законом РФ от 25 января 1995 г. «Об информа­ции, информатизации и защите информации» целями обеспече­ния информационной безопасности являются:

· предотвращение разглашения, утечки и несанкционирован­ного доступа к охраняемым сведениям;

· предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

· обеспечение правового режима документированной инфор­мации как объекта собственности;

· защита конституционных прав граждан на сохранение лич­ной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законо­дательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информаци­онных систем, технологии и средств их обеспечения.

Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следую­щих уровней:

· законодательного (законы, нормативные акты, стандарты и т.п.);

· административного (действия общего характера, предпри­нимаемые руководством организации);

· процедурного (конкретные меры безопасности, имеющие дело с людьми);

· программно-технического (конкретные технические меры).

Законодательные основы обеспечения информационной безопасности

На законодательном уровне закла­дываются общие предпосылки для обеспечения безопасности. Так, Кон­ституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как пра­ва граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом — ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознаком­ления гражданина с документами и материалами, непосредствен­но затрагивающими его права и свободы, — ст. 24, ч. 2).

На законодательном уровне различают две группы мер: направ­ленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению об­разованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовно­го кодекса, в которой достаточно полно охарактеризованы основ­ные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко.

Закон «Об информации, информатизации и защите информа­ции» также можно причислить к этой группе. Важнейшими эле­ментами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и вклю­чение их в состав имущества (ст.

· основы правового режима информационных ресурсов (ст. 4);

· состав государственных информационных ресурсов (ст. 7) и порядок их формирования (ст. 8);

· режимы доступа к информационным ресурсам (ст. 10) и по­рядок их использования (ст. 12, 13);

· порядок использования информации о гражданах (персо­нальные данные) как части государственных информаци­онных ресурсов (ст. 11, 14);

· порядок сертификации информационных систем, техноло­гий, средств их обеспечения и лицензирования деятельно­сти по формированию и использованию информационных ресурсов (ст. 19);

· принципы защиты информации и прав субъектов в области информатизации (ст. 20, 21, 22, 23 и 24).

Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безус­ловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных от­ношений.

Ко второй группе — направляющих и координирующих зако­нов и нормативных актов — относится пакет документов, регламентирующих процессы лицензирования и сертификации в обла­сти информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации.

В связи с этим стоит упомянуть Указ Президента РФ от 3 апре­ля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифроваль­ных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на:

· использование государственными организациями и предпри­ятиями шифровальных средств, включая криптографичес­кие средства обеспечения подлинности информации (элек­тронная подпись), и защищенных технических средств хра­нения, обработки и передачи информации, не имеющих сертификата ФАПСИ, а также размещение государствен­ных заказов на предприятиях, в организациях, использую­щих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ;

· деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией указанных технических и шифровальных средств и предос­тавлением соответствующих услуг без лицензий, выданных ФАПСИ;

· ввоз на территорию РФ шифровальных средств иностранного производства без лицензии Министерства внешних экономи­ческих связей РФ, выданной по согласованию с ФАПСИ.

Указ Президента РФ от 6 марта 1997 г. № 188 определяет поня­тие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламен­тирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите ин­формационно-телекоммуникационных систем и баз данных от утеч­ки конфиденциальной информации по техническим каналам свя­зи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты инфор­мации от иностранной технической разведки и от утечки по тех­ническим каналам».

В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующими ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информа­ции от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от не­санкционированного доступа к информации»; ГОСТ Р 3410-94 «Про­цедуры выработки и проверки электронной подписи на базе асим­метрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Терми­ны и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защит­ных средств.

Международно-правовые аспекты обеспечения информационной безопасности

В мире глобальных сетей норматив­но-правовая база должна разраба­тываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необхо­димость защищенного взаимодействия с зарубежными организа­циями и зарубежными филиалами российских организаций.

Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопас­ность. Использование зарубежных продуктов в некоторых крити­чески важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встра­ивания закладных элементов. В большинстве случаев потенциаль­ные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использова­ния зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то ос­нований.

* ПЭМИН — побочные электромагнитные излучения и наводки.

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она мо­жет быть успешно решена. Сложившаяся в Европе система серти­фикации по требованиям информационной безопасности позво­лила оценить операционные системы, системы управления база­ми данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в серти­фикационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и инфор­мационной безопасностью без снижения уровня национальной без­опасности.

Главное же, чего не хватает современному российскому зако­нодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответ­ствующих задач, скоординировать научные, учебные и производ­ственные планы.

Пример позитивного законодательства — Британский стан­дарт BS 7799:1995, описывающий основные положения поли­тики безопасности. Более 60% крупных организаций использу­ют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагаю­щий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных до­кументов.

В заключение перечислим перспективные направления законо­дательной деятельности государства в области обеспечения информационной безопасности:

· разработка новых законов с учетом интересов всех катего­рий субъектов информационных отношений;

· ориентация на созидательные, а не карательные законы;

· интеграция в мировое правовое пространство;

· учет современного состояния информационных технологий.