Уголовно-правовая защита от вредной информации 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Уголовно-правовая защита от вредной информации



(Сокращения в таблице: Л - против личности, О - против общества, Г - против государства, М - материальный состав преступления, Ф - формальный состав преступления, У -усеченный состав преступления)

Контрольные вопросы

1. Какие виды "вредной" информации названы в законодательстве?

2. В чем состоит актуальность проблемы защиты здоровья человека от деструктивного информационно-психологического воздействия?

3. Что понимается под информационно-психологической безопасностью?

4. Каковы основные угрозы информационно-психологической безопасности и их источники?

5. Каковы государственные гарантии защиты от "вредной" информации?

6. Какие основные элементы должны быть в государственной системе обеспечения информационно-психологической безопасности?

7. Каковы основные средства государственного регулирования отношений в этой сфере?

8. Когда начинается охрана прав на защиту от воздействия вредной информации?

9. Как защитить свои права от воздействия вредной информации в административном порядке?

10. Как защитить свои права от воздействия вредной информации в судебном порядке?
Литература


Алешенков М. С. и др. Энергоинформационная безопасность человека и государства. М., 1997.

Башкатов Л. Д. Религиозная преступность: уголовно-правовые и криминологические проблемы. Автореф. дисс. канд. юрид. наук. М., 2001.

Башкатов Л. Д., Старков О. В. Религиозные преступления: видовой состав, причины и условия, профилактика. М., 2000.

БухтояровА. А. Психоэкология реальности. М., 1999.

Власов А. А. Проблемы судебной защиты чести, достоинства и деловой репутации. М., 2000.

Гущин В. 3. Прокурорский надзор за соблюдением конституционного права граждан на объединение. Вопросы теории и практики. М., 1998.

Кудрявцев В. К, Топорнин Б. Н. и др. Наука клеймит псевдонауку // Известия. № 130. 1998. 17 июля.

Лепский В. Е. и др. Проект Концепции информационно-психологической безопасности РФ. М., 1997.

Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. СПб., 2000.

Лопатин В. Н. Концепция развития законодательства в сфере обеспечения информационной безопасности. М., 1998.

Лопатин В. Н. О проблемах информационной безопасности человека // Российская Федерация сегодня. 1999. № 20. С. 16-17.

Лопатин В. Н. О проекте Федерального закона "Об информационно-психологической безопасности" // Законодательство и практика средств массовой информации. М., 2000. № 68. С. 6-14.

Международное право: Учебник / Отв. ред. Ю. М. Колосов, Э. С. Кривчикова. М., 2000.

Психоэкология России. Проблемы безопасности информационного пространства и психосферы страны. СПб., 1997.

Религиозная экспансия против России // Аналитический вестник. Изд. Гос. Думы РФ. 1998. Вып. 4.

Смирнов И., БезносюкЕ., Журавлев А. Психотехнологии: Компьютерный психосемантический анализ и психокоррекция на неосознаваемом уровне. М., 1995.

Тер-Акопов А. А. Безопасность человека. М., 1998.

Цыганков В. Д., Лопатин В. Н. Психотронное оружие и безопасность России. 1999.

Чалдини Р. Психология влияния. Изд. 3-е, междунар. СПб., 2000.


Глава 15

ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ И ПРАВ НА НИХ

Вопросы понятия информационной системы как объекта права, основных объектов и субъектов правоотношений, их классификации при создании и эксплуатации информационных систем были рассмотрены ранее в параграфе 3 главы 4 учебника. Здесь мы подробнее рассмотрим особенности и проблемы правовой охраны и защиты информационных систем и прав на них, в том числе в Интернет.

15.1. Основные угрозы информационным системам и правам на них

Источники права об информационных системах. К основным источникам права относятся:

а) нормы законов - Гражданский кодекс РФ (разделы 1, 2);Уголовный кодекс РФ (глава 28);
Федеральный закон "Об обязательном экземпляре документов" от 29 декабря 1994 г. № 77-
ФЗ; Федеральный закон "Об информации, информатизации и защите информации" от 20
февраля 1995 г. № 24-ФЗ; Федеральный закон"Об участии в международном
информационном обмене" от 4 июля 1996 года № 85-ФЗ; Федеральный закон "О связи" от
16 февраля 1995 г. №15-ФЗ; Закон РФ "О сертификации продукции и услуг" от 10 июня
1993 г. № 5151-1 (с изменениями и дополнениями, внесенными Федеральным законом от
27 декабря 1995 г. № 211-ФЗ);

б) подзаконные нормативные правовые акты - "Концепция правовой информатизации
России", утвержденная Указом Президента Российской Федерации от 23 апреля 1993 г. №
477; Указ Президента Российской Федерации от 27 декабря 1993 г. № 2293

"Вопросы формирования единого информационно-правового пространства Содружества Независимых Государств"; Указ Президента Российской Федерации от 31 декабря 1993 г. № 2334 "О дополнительных гарантиях права граждан на информацию"; Указ Президента Российской Федерации от 20 января 1994 г. № 170; Указ Президента Российской Федерации от 17 февраля 1994 г. № 328 "Вопросы деятельности Комитета при Президенте Российской Федерации по политике информатизации"; Указ Президента Российской Федерации от 21 февраля 1994 г. № 361 "О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации"; Указ Президента Российской Федерации от 1 июля 1994 г. № 1390 "О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации"; Президентская программа "Правовая информатизация органов государственной власти Российской Федерации", утвержденная Указом Президента Российской Федерации от 4 августа 1995 г. № 808; Постановление Правительства РФ от 12 января 1996 г. № 11 "Об улучшении информационного обеспечения населения Российской Федерации"; ведомственные нормативные акты ("Основные направления информатизации Вооруженных Сил Российской Федерации", одобренные Минобороны Российской Федерации; концепция создания единой телекоммуникационной системы Минобороны России "Широта"; концепция создания информационно-телекоммуникационной системы специального назначения (ИТКС) ФАПСИ);

в) Международные договоры и соглашения - Концепция формирования информационного
пространства СНГ, утвержденная решением Совета Глав Правительств СНГ от 18 октября
1996 г.;


Рекомендательный законодательный акт МПА СНГ "О принципах регулирования

информационных отношений в государствах - участниках Межпарламентской Ассамблеи"

от 23 мая 1993 г.;

Рекомендация СЕ (1970) "О средствах массовой коммуникации и правах человека";

Конвенция (108) ЕС от 28.01.81 "О защите личности в отношении автоматизированной

обработки персональных данных";

Рекомендация СЕ (1984) "О деятельности Совета Европы, относящейся к средствам

массовой коммуникации";

Решение 87/95/ЕЕС от 22.12.86 (стандартизация в области информационной технологии и

связи);

Рекомендация СЕ (1989) "О Европейской Конвенции по трансграничному телевидению";

Конвенция СЕ (1989) "Европейская Конвенция о трансграничном телевещании";

Резолюция СЕ (1990) "О развитии телекоммуникаций в Европе";

Декларация СЕ (1991) "О политике в области средств массовой коммуникации в

меняющейся Европе";

Директива 91/2 5 О/ЕС "О правовой защите компьютерных программ";

Директива 91/1 О/ЕС "О правах на аренду, заем и другие смежные права, авторские права в

области интеллектуальной собственности";

Директива 91/83/ЕС "О координации определенных постановлений в отношении авторских

и смежных прав при передаче через спутники и по кабельным сетям";

Директива 95/46/ЕС от 24.10.95 "О защите личности при автоматической обработке

персональных данных и о свободном обращении этих данных";

Директива 96/9/ЕС "О правовой защите баз данных";

Директива 97/13/ЕС (лицензии в области связи);

Директива 97/33/ЕС (взаимодействие через открытые сети);

Директива 97/66/ЕС от 15.12.97 (обработка персональных данных и защита

конфиденциальной информации в секторе связи) и др.

Сегодня существует множество классификаций видов угроз, среди которых различают:

угрозы в отношении информации, циркулирующей в информационных системах, и угрозы

собственно информационным системам; внешние и внутренние угрозы; по источникам

угроз, по принципам и способу их воздействия на информационные системы, по целям

воздействия и по используемым при этом средствам и т. д.

Одновременно с усилением зависимости развития человечества от информатизации

активизируются попытки обратить эту зависимость в свою пользу, как со стороны

высокоразвитых стран, так и со стороны тех, кто серьезно отстает от этих процессов. Так,

например, в США не скрывают своих претензий на мировое лидерство, в том

числе путем завоевания превосходства в этой сфере. В то же время, по оценкам

американских экспертов, от 30 до 50 государств считают США объектом компьютерного

шпионажа. Так, еще в июне 1996 года на состоявшихся слушаниях в Конгрессе США было

отмечено, что защита американских информационных и телекоммуникационных систем от

информационного воздействия является одной из главных составляющих обеспечения

национальной безопасности страны. С целью усиления координации проводимых работ в

данном направлении бывшим директором ЦРУ Д. Дейчем тогда было высказано

предложение по созданию при Агентстве национальной безопасности (АНБ) США

специального центра для ведения информационной войны и отражения угроз в указанной

области.

По оценке ФАПСИ- внешняя угроза информационной безопасности в национальных

информационно-телекоммуникационных системах может проявляться в следующих

формах:

сбор конфиденциальной информации в различных системах связи, в том числе путем

несанкционированного доступа (НСД) в компьютерные сети;


использование, в основном, импортных аппаратных и программно-аппаратных комплексов при создании отечественных информационно-телекоммуникационных систем, что существенно увеличивает возможности иностранных спецслужб получать важную конфиденциальную информацию из наших телекоммуникационных систем (ФАПСИ располагает сведениями о так называемых "скрытых функциональных возможностях" программного обеспечения и других средствах и методах перехвата информации, которые могут быть заложены в телекоммуникационные системы. Актуальной проблемой в данной области является выявление в программном продукте иностранного производства скрытых функциональных возможностей, в том числе средств конспиративного (негласного) съема информации, реализующих деструктивные функции в системе);

попытки продвижения на российский рынок зарубежных средств защиты информации, разработанных, в большинстве своем, с учетом интересов иностранных спецслужб. (В связи с этим

принципиально недопустимо использование для закрытия государственно значимой информации импортных средств шифрования. Именно такая норма содержится в законодательстве США, где запрещено использовать технические и программные средства зарубежного производства в интересах обеспечения национальной безопасности); использование информационного оружия против информационных систем (что рассматривалось в первой главе);

подключение к открытым информационным системам, в том числе Интернет, наряду с прогрессом в продвижении к единому информационному пространству таит в себе и специфические опасности для национальных информационных систем. Наряду с проявлениями внешней угрозы вмешательства в информационные системы существуют и внутренние угрозы. Среди них принято выделять:

попытки проникновения "хакеров" в компьютерные сети органов государственной власти, банков, предприятий и т. п.;

утрата конфиденциальных сообщений, передаваемых средствами документальной электросвязи, кражи и уничтожение банковской информации и программного обеспечения систем электронных платежей, отправка фальшивых авизо с использованием кодов подтверждения достоверности межбанковских операций и возможностей локальных сетей коммерческих банков. По данным специалистов США, снятие элементов защиты информации с компьютерных систем приведет к разорению 20% средних компаний в течение нескольких часов, 48% потерпят крах через несколько дней, 33% банков "лопнет" через несколько часов, 50% - через несколько дней. Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд долл. В России ущерб от компьютерных преступлений до сих пор интегрально не подсчитывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной. В связи с этим компьютерная преступность становится важнейшей проблемой как для России, так и для всего мирового сообщества.

Наряду с этим к внутренним угрозам, по мнению профессора Липаева В. В. - автора многих книг об открытых системах, следует отнести непредумышленные дефекты самих информационных систем и действия операторов, что может также привести к возникновению нештатных ситуаций в информационных системах. По источникам угроз безопасности все угрозы можно разделить натри группы.- Антропогенные (непосредственно созданные людьми) - непреднамеренные или преднамеренные действия: обслуживающего персонала и управленческого персонала, программистов, пользователей, архивной службы, службы безопасности информационной системы; действия несанкционированных пользователей (деятельность иностранных разведывательных и специальных служб, криминальных структур, недобросовестных партнеров и конкурентов, а также противозаконная деятельность иных отдельных лиц). Техногенные (некачественные технические и программные средства обработки информации; средства связи, охраны, сигнализации; другие технические средства,


применяемые в учреждении; глобальные техногенные угрозы (опасные производства, сети энерго-, водоснабжения, канализации, транспорт и т. п.), приводящие к пропаже или колебаниям электропитания и других средств обеспечения и функционирования, отказам и сбоям аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи (оптические, электрические, звуковые) и т. п.). Природные (стихийные бедствия, магнитные бури, радиоактивное воздействие). Например, мировой опыт и статистический анализ случаев компьютерных преступлений в банковской сфере показывает, что среди них: кража денег - 36%; кража услуг - 34%; кража информации - 12%; подделка данных - 8%; вымогательство - 4%; нанесение ущерба программам - 2%; нанесение ущерба оборудованию - 2%; помехи нормальной работе - 2%. По наличию умысла угрозы подразделяются на преднамеренные (с умыслом) и непреднамеренные (случайные). С учетом анализа международного опыта зашиты информации и опыта проведения аналогичных работ в отечественных организациях злоумышленные действия персонала, работающего в учреждении, можно разделить с учетом социальных предпосылок, характерных для России, на четыре основные категории:

а) Прерывание - прекращение нормальной обработки информации, например, вследствие
разрушения вычислительных средств. Такая категория действий может вызвать весьма
серьезные последствия, если даже информация при этом не подвергается никаким
воздействиям.

б) Кража - чтение или копирование информации, хищение носителей информации с целью
получения данных, которые могут быть использованы против интересов владельца
(собственника) информации.

в) Модификация информации - внесение несанкционированных изменений в данные,
направленные на причинение ущерба владельцу (собственнику) информации.

г) Разрушение данных - необратимое изменение информации, приводящее к
невозможности ее использования.

Обобщая данные анализа, при этом можно констатировать, что вероятность реализации случайных угроз выше, чем преднамеренных, но финансовый ущерб больше от реализации последних.

По средствам воздействия на информационные системы наиболее полный известный анализ угроз и их общую классификацию дан в исследованиях группы отечественных ученых под руководством П. Д. Зегжды.

По данным глобального опроса в 50 странах мира среди 1600 специалистов в области защиты информации, который проводили летом 1998 г. компании Information Week и Pricewaterhouse Coopers, самая распространенная угроза безопасности в 1997 г. - это компьютерные вирусы. Если в 1991 г. вирусная угроза была зафиксирована 22% опрошенных, а в 1992 г. - 44%, то в 1997 г. - более 60%. При этом большая часть угроз по-прежнему исходят изнутри компании: 58% опрошенных компаний предполагают, что один или более сотрудников и других авторизованных пользователей злоупотребляли своими правами (в 1991 г. - 75%). Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев; поставщики и покупатели являются источниками атак только в 12%

случаев. "Соотношение внутренних/внешних угроз - 60:40, ранее - 80:20. По некоторым оценкам, число вирусов удваивается каждый год. Как следствие, антивирусные средства являются самыми распространенными средствами защиты информации (среди опрошенных компаний (более 90%). Следующим распространенным средством защиты являются межсетевые экраны. Средства адаптивного управления безопасностью, такие как системы анализа защищенности и обнаружения атак, пока применяются не столь широко, как того требуют динамично изменяющиеся сетевые технологии.-

Поскольку полное устранение перечисленных угроз принципиально невозможно, то проблема состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на ПС, а также в рациональном распределении ресурсов


для обеспечения создания системы, равнопрочной как в плане качества функционирования, так и информационной безопасности. Для решения этой проблемы В. В. Липаев предлагает в качестве одного из эффективных методов - сертификацию. По его оценке, сертификация, как апробированный механизм целенаправленных испытаний, должна быть в максимальной степени ориентирована на противодействие перечисленным угрозам и нейтрализацию негативных последствий их реализации. При этом, в силу существующей зависимости, обеспечение качества функционирования ИС в условиях потенциальной реализации угроз является определенной гарантией информационной безопасности ИС. По частоте проявления угрозы безопасности распределяются так в порядке убывания: копирование и кража программного обеспечения; несанкционированный ввод данных; модификация или уничтожение данных на магнитных носителях информации; кража (съем) информации;

несанкционированное использование ресурсов в системе; несанкционированный доступ к информации.

Вероятность возникновения угроз может быть существенно снижена: кража магнитных носителей и результатов печати, порча

оборудования - организационными мерами; электромагнитные воздействия и перехват информации в системах - техническими средствами защиты; съем информации по акустическому каналу - защитой от подслушивания; отключение электропитания системы -инженерно-техническими средствами. Оставшиеся виды угроз наиболее опасны, что доказывает необходимость комплексного решения проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.

В данном случае используется подход, когда для защиты от каждого вида угроз должны разрабатываться свои способы, которые должны ориентироваться не на максимальный, а на необходимый уровень защиты. В то же время некоторые ученые и практики считают, что существующий подход к построению систем защиты, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов. Вместе с тем, любой из типов угроз - как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности. Повышение надежности самой системы и устранение данных причин (в идеальном случае) позволит минимизировать возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода, по мнению П. Д. Зегжды, является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью. На наш взгляд, целесообразно использовать преимущества как первого, так и второго подходов.

Основные направления обеспечения безопасности в информационных системах можно определить в зависимости от их уровня и угроз этим системам в соответствии с приведенной классификацией таких угроз, и они предполагают комплексное решение проблемы защиты с применением организационных,

аппаратно-технических, программно-математических и правовых средств защиты.-Совокупность применения таких мер и средств защиты принято называть среди специалистов политикой безопасности. Политика безопасности информационной системы обычно состоит из трех частей: общие принципы (определяют подход к безопасности в системе); правила работы (определяют что разрешено, а что - запрещено; могут дополняться конкретными процедурами и различными руководствами); технические решения (технический анализ, который помогает выполнять принципы и правила


политики). Однако, как в теории, так и на практике подобная политика безопасности, как

правило, не предусматривает правовых средств защиты, упоминая лишь в лучшем случае

об ответственности за компьютерные преступления. Рассмотрим это на некоторых

примерах организации защиты информационных систем разных уровней, а вопросы их

правовой охраны и защиты рассмотрим подробнее в следующих параграфах данной главы.

На уровне персонального компьютера.

Еще недавно самая большая угроза информационной безопасности настольного ПК

исходила от дискет неизвестного происхождения, легко угадываемых паролей и

любопытных коллег по работе. С появлением Интернет возникли новые потенциальные

опасности и угрозы на этом уровне, что предполагает использование и новых технических

и программных средств защиты. К их числу можно отнести-:

персональные комплексы безопасности (персональные комплексы безопасности

отличаются широкой функциональностью: от антивирусных программ до шифраторов

данных и фильтров ActiveX и Java. Например, в инструментальный комплекс Desktop

Security Suite входят антивирусные программы, средства шифрования, персональный

брандмауэр и утилиты резервирования данных);

диспетчеры cookie-файлов (служебных сообщений) - программы, с помощью которых

можно отыскивать и удалять

cookie-файлы, которые могут быть использованы для слежения за деятельностью

пользователя в Сети, что породило опасения относительно возможных нарушений

конфиденциальности;

надежные алгоритмы шифрования - единственный способ, гарантирующий

неприкосновенность электронной почты пользователя (общепринятым стандартом

шифрования электронной почты становится спецификация S/MIME). Так называемые

бреши в защите браузеров дают возможность посторонним лицам просматривать вашу

электронную почту. Например, в первой половине 1997 г. фирма Netscape выпустила

программную заплату для ликвидации бреши, через которую посторонние могли читать

сообщения клиентов службы Netscape Mail, работавших спакетами Navigator 3.0 и

подключенным модулем Бпосклуауефирмы Macromedia.

На уровне локальной, корпоративной сети-.

Обеспечение информационной безопасности корпоративных сетей, (где их эксплуатация

связана с использованием мощных СУБД, работой сотен пользователей и включением в

глобальные сети связи, что облегчает доступ неопределенного круга лиц к ресурсам такой

системы) требует специальной стратегии безопасности, составными частями которой

должны стать разработка совокупности документированных управленческих решений,

оценка рисков и оптимальный выбор защитных средств, составление программы мер по

поддержанию безопасности. К политике безопасности на этом уровне относят:

1) принципы защиты информации в информационных системах:

целостность содержания информации (позволяет получателю убедиться, что содержание

сообщения не модифицировано);

целостность последовательности сообщений (позволяет получателю убедиться в том, что

последовательность сообщений не изменена);

конфиденциальность содержания информации (позволяет отправителю быть уверенным,

что никто не прочитает сообщения, кроме определенного получателя);

аутентификация источника сообщений (отправитель получает возможность

аутентифицироваться у получателя как источник

сообщения, а также у любого устройства передачи сообщений, через которое они

проходят);

доказательство доставки информации (отправитель может убедиться в том, что сообщение

доставлено неискаженным нужному получателю);

доказательство подачи информации (отправитель может убедиться в идентичности

устройства передачи сообщения, на которое оно было подано);


безотказность источника информации (позволяет отправителю доказать получателю, что

переданное сообщение принадлежит ему);

безотказность поступления информации (позволяет отправителю сообщения получить от

устройства передачи сообщения, на которое оно поступило, доказательство того, что

сообщение поступило на это устройство для доставки определенному получателю);

безотказность доставки информации (позволяет отправителю получить от получателя

доказательство получения им сообщения);

управление контролем доступа к информации (позволяет двум компонентам системы

обработки сообщений установить безопасные соединения);

защиту от попыток расширения своих законных полномочий (на доступ, формирование,

распределение и т. д.), а также изменения(без санкции на то) полномочий других

пользователей;

защиту от модификации программного обеспечения путем добавления новых функций.

(Аналогичные принципы должны быть и в отношении защиты самих информационных

систем);

2) управление персоналом (отбор, контроль в процессе деятельности, воспитание
сознательного отношения к соблюдению правил безопасности);

3) обеспечение физической защиты информации, в том числе регулярное защищенное
резервное ее копирование, протоколирование и аудит всех выполняемых в системе
действий, шифрование информации, экранирование кабельных сетей;

4) поддержка работоспособности системы и предупреждение ее вскрытия и проникновения
в нее вирусов (резервирование

оборудования, использование проверки подлинности пользователя, использование брандмауэров - устройств и программ, выполняющих функции межсетевых экранов, ограничение использования дисков CD-ROM и гибких дисков, разграничение прав доступа и т. п.);

5) немедленное реагирование на проявление угрозы;

6) опережающее планирование восстановительных работ.

К числу основных направлений обеспечения информационной безопасности в

общегосударственных информационных и телекоммуникационных системах отнесены:

предотвращение перехвата информации из помещений и объектов, а также информации,

передаваемой по каналам связи с помощью технических средств;

исключение несанкционированного доступа к обрабатываемой или хранящейся в

технических средствах информации;

предотвращение утечки обрабатываемой информации за счет побочных электромагнитных

излучений и наводок, создаваемых функционирующими техническими средствами,

преобразований, а также за счет электроакустических преобразований;

предотвращение специальных программно-технических воздействий, вызывающих

разрушение, уничтожение, искажение информации или сбои в работе средств

информатизации;

выявление внедренных на объекты и в технические средства электронных устройств

перехвата информации.

Безусловными недостатками такого подхода являются два момента: 1) то, что

перечисленные направления относятся, в основном, к защите информации,

циркулирующей в информационной системе, и 2) обеспечение защиты здесь предлагается

осуществлять без указания на использование при этом средств и способов правовой охраны

и защиты.

Так, предотвращение перехвата с помощью технических средств информации,

передаваемой по каналам связи, а также исключение несанкционированного доступа к

информации, обрабатываемой или хранящейся в технических средствах, достигаются

путем применения специальных методов и средств защиты, включая криптографические, а

также проведения организационно-технических мероприятий.


Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается путем применения защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранирования зданий или отдельных помещений, установления контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается с помощью специальных программных и аппаратных средств защиты, организации контроля безопасности программного обеспечения. Выявление внедренных на объекты и в технические средства электронных устройств перехвата информации осуществляется в ходе специальных обследований помещений (объектов) и специальных проверок технических средств.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, реализацией проектных решений, обеспечивающими звукоизоляцию помещений, выявлением и нейтрализацией специальных средств съема информации и другими организационными и режимными мероприятиями.

- Маркоменко В. И. Защита информации в информационно-телекоммуникационных
системах органов государственной власти. Системы безопасности. 1996 № 6.

- Концепция Центробанка России обеспечения защиты информации кредитно-финансового учреждения. М., 1996.; Левкин В. В. и др. Оценка экономической эффективности системы защиты от несакционированного доступа СНЕГ. Безопасность информационных технологий. 1996. № 3. С. 90-101; Стене Д., Мун С. Секреты безопасности сетей. Киев. 1996; Романов М. Ю., Скородумов Б. И. Безопасность информации в автоматизированных системах банковских расчетов. М., 1998. С. 45-70.

- Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды. М., 1996.

- Лукацкий А. В., руководитель отдела Internet-решений НИП "Информзащита".
Информационная безопасность в фактах и цифрах. М., 1998.

- Галатенко В. А. Информационная безопасность: практический подход. - Под редакцией члена-корреспондентаРАНВ. Б. Бетелина. М., 1998.

- Скот Финни. Информационная безопасность настольных ПК. PC Magazine. 1997. №9. С. 149.

- Материалы семинара "Безопасность в информационных системах". 27-29 мая 1996 г. "Банковские технологии". 1996. № 7.

15.2. Охрана прав на информационные системы

Следует различать правовую охрану и защиту права на информацию в информационных

системах и защиту прав в отношении самих информационных систем. Целями правовой

охраны и защиты в данном случае являются:

предотвращение несанкционированных действий по уничтожению, модификации,

искажению, копированию, блокированию информации, находящейся в информационной

системе;

предотвращение других форм незаконного вмешательства в информационные системы;

защита конституционных прав граждан на сохранение личной тайны и

конфиденциальности персональных данных, имеющихся в информационных системах;

обеспечение прав субъектов при разработке, производстве и

применении информационных систем

Охрана права собственника (владельца) на информационную систему возникает с момента

ее создания (приобретения) на законном основании и действует в объеме и порядке,

предусмотренном Гражданским кодексом Российской Федерации (раздел II), что


подтверждено Федеральным законом "Об участии в международном информационном обмене", в котором указано, что информационные системы используются только по волеизъявлению их собственника или уполномоченного им лица (ст. 9), а доступ физических и юридических лиц к этим системам осуществляется по правилам, установленным собственником или владельцем этих систем в соответствии с законодательством Российской Федерации (ст. 12). В то же время такая правовая охрана в каждом конкретном случае будет иметь свою специфику в зависимости от вида информационных систем: открытые (для общего пользования) или закрытые (для ограниченного круга пользователей); государственные или негосударственные; национальные или международные и т. д. На основе анализа действующего законодательства можно выделить основные права и обязанности собственника информационной системы.

Собственник (владелец) информационной системы имеет в отношении этой системы следующие права:

1) включать в состав своего имущества и использовать информационную систему в
качестве товара (продукции) по своему усмотрению при соблюдении исключительных прав
ее разработчиков, в том числе - отчуждать в собственность другим лицам; передавать им,
оставаясь собственником, права владения, пользования, распоряжения и доверительного
управления информационной системой; отдавать в залог; свободно распоряжаться иным
образом и обременять другими способами;-

2) самостоятельно определять условия использования системы, в том числе устанавливать
порядок предоставления пользователю

информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур доступа к информационной системе;

3) устанавливать необходимые ограничения для пользователей, включая обслуживающий
персонал, в интересах обеспечения информационной безопасности системы и требовать их
выполнения в соответствии с действующим законодательством;

4) разрешать (прекращать) доступ пользователей к информационной системе на договорной основе, при этом доступ к сетям связи осуществляется в соответствии с Федеральным законом "О связи";

5) обращаться в организации, осуществляющие сертификацию средств защиты информационных систем, для проведения анализа достаточности мер защиты его систем и получения консультаций;

6) требовать от организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных в информационных системах лицензии на этот вид деятельности;

7) требовать от третьих лиц воздерживаться от незаконного доступа к информационным
системам и привлечения лиц, виновных в нарушении его прав и законных интересов, к
гражданско-правовой, административной или уголовной ответственности.

При реализации своих прав собственник (владелец) информационной системы обязан:

1) обеспечить открытость установленных им правил доступа и возможность ознакомления
с ними пользователя;



Поделиться:


Последнее изменение этой страницы: 2017-02-21; просмотров: 255; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.206.13.112 (0.161 с.)