Тема2. Правовоеобеспечениеинформационнойбезопасности.

Вделеобеспеченияинформационнойбезопасностиуспехможетпринеститолько комплексныйподход. Длязащитыинтересовсубъектовинформационныхотношенийнеобходимосочетатьмерыследующихуровней:

· законодательного;

· административного(приказыидругиедействияруководстваорганизаций,связанныхсзащищаемымиинформационнымисистемами);

· процедурного(мерыбезопасности,ориентированныеналюдей);

· программно-технического.

 

 

 

 

Законодательныйуровень являетсяважнейшимдляобеспеченияинформационнойбезопасности.Большинстволюдейнесовершаютпротивоправныхдействийнепотому,чтоэтотехническиневозможно,апотому,чтоэтоосуждаетсяи/илинаказываетсяобществом,потому,чтотакпоступатьнепринято.

 

Разграничимназаконодательномуровнедвегруппымер:

1. Меры,направленныенасозданиеиподдержаниевобщественегативного(втомчислесприменениемнаказаний)отношениякнарушенияминарушителяминформационнойбезопасности(назовемих мерамиограничительнойнаправленности);

2. Направляющиеикоординирующиемеры,способствующиеповышениюобразованностиобществавобластиинформационнойбезопасности,помогающиевразработкеираспространениисредствобеспеченияинформационнойбезопасности(мерысозидательнойнаправленности).

Самоеважноеназаконодательномуровне–создатьмеханизм,позволяющийсогласоватьпроцессразработкизаконовсреалиямиипрогрессоминформационныхтехнологий.Законынемогутопережатьжизнь,новажно,чтобыотставаниенебылослишкомбольшим,таккакнапрактике,помимопрочихотрицательныхмоментов,этоведеткснижениюинформационнойбезопасности.

Правовыеактыобщегоназначения,затрагивающиевопросыинформационнойбезопасности.

ОсновнымзакономРоссийскойФедерацииявляетсяКонституция,принятая12декабря1993года.Всоответствиисостатьей24Конституции,органыгосударственнойвластииорганыместногосамоуправления,ихдолжностныелицаобязаныобеспечитькаждомувозможностьознакомлениясдокументамииматериалами,непосредственнозатрагивающимиегоправаисвободы,еслииноенепредусмотренозаконом.

Статья41гарантируетправоназнаниефактовиобстоятельств,создающихугрозудляжизнииздоровьялюдей,статья42–правоназнаниедостовернойинформацииосостоянииокружающейсреды.

Впринципе, правонаинформацию можетреализовыватьсясредствамибумажныхтехнологий,новсовременныхусловияхнаиболеепрактичнымиудобнымдлягражданявляетсясозданиесоответствующимизаконодательными,исполнительнымиисудебнымиорганамиинформационныхсерверовиподдержаниедоступностиицелостностипредставленныхнанихсведений,тоестьобеспечениеих(серверов)информационнойбезопасности.

Статья23Конституциигарантирует правоналичнуюисемейнуютайну,натайнупереписки,телефонныхпереговоров,почтовых,телеграфныхииныхсообщений,статья29–правосвободноискать,получать,передавать,производитьираспространятьинформациюлюбымзаконнымспособом.Современнаяинтерпретацияэтихположенийвключаетобеспечениеконфиденциальностиданных,втомчислевпроцессеихпередачипокомпьютернымсетям,атакжедоступк средствамзащитыинформации.

ВГражданскомкодексеРоссийскойФедерации(действующаяредакцияот05.05.2014)фигурируюттакиепонятия,какбанковская,коммерческаяислужебнаятайна.Согласностатье139,информациясоставляетслужебнуюиликоммерческуютайнувслучае,когдаинформацияимеетдействительнуюилипотенциальнуюкоммерческуюценностьвсилунеизвестностиеетретьимлицам,кнейнетсвободногодоступаназаконномосновании,иобладательинформациипринимаетмерыкохранеееконфиденциальности.Этоподразумевает,какминимум,компетентностьввопросахИБиналичиедоступных(изаконных)средствобеспеченияконфиденциальности.

ВесьмапродвинутымвпланеинформационнойбезопасностиявляетсяУголовныйкодексРоссийскойФедерации.Глава28–«Преступлениявсферекомпьютернойинформации» –содержиттристатьи:

· статья272.Неправомерныйдоступккомпьютернойинформации;

· статья273.Создание,использованиеираспространениевредоносныхпрограммдляЭВМ;

· статья274.НарушениеправилэксплуатацииЭВМ,системыЭВМилиихсети.

Перваяимеетделоспосягательстваминаконфиденциальность,вторая–свредоноснымПО,третья–снарушениямидоступностиицелостности,повлекшимизасобойуничтожение,блокированиеилимодификациюохраняемойзакономинформацииЭВМ.ВключениевсферудействияУКРФвопросовдоступностиинформационныхсервисовпредставляетсянамоченьсвоевременным.

Статья138УКРФ,защищаяконфиденциальностьперсональныхданных,предусматриваетнаказаниезанарушениетайныпереписки,телефонныхпереговоров,почтовых,телеграфныхилииныхсообщений.Аналогичнуюрольдлябанковскойикоммерческойтайныиграетстатья183УКРФ.

ИнтересыгосударствавпланеобеспеченияконфиденциальностиинформациинашлинаиболееполноевыражениевЗаконе "Огосударственнойтайне" (сизменениямина21.12.2013года).Внемгостайнаопределенакакзащищаемыегосударствомсведениявобластиеговоенной,внешнеполитической,экономической,разведывательной,контрразведывательнойиоперативно-розыскнойдеятельности,распространениекоторыхможетнанестиущерббезопасностиРоссийскойФедерации.Тамжедаетсяопределениесредствзащитыинформации.СогласноданномуЗакону,этотехнические,криптографические,программныеидругиесредства,предназначенныедлязащитысведений,составляющих государственнуютайну;средства,вкоторыхониреализованы,атакжесредстваконтроляэффективностизащитыинформации.Подчеркнемважностьпоследнейчастиопределения.

Закон"Обинформации,информатизацииизащитеинформации"

Основополагающимсредироссийскихзаконов,посвященныхвопросаминформационнойбезопасности,следуетсчитатьзакон"Обинформации,информатизацииизащитеинформации"от20февраля1995годаномер24-ФЗ(ред.от10.01.2003).Внемдаютсяосновныеопределенияинамечаютсянаправленияразвитиязаконодательствавданнойобласти.

Процитируемнекоторыеизэтихопределений:

· информация –сведенияолицах,предметах,фактах,событиях,явленияхипроцессахнезависимоотформыихпредставления;

· документированнаяинформация(документ) –зафиксированнаянаматериальномносителеинформациясреквизитами,позволяющимиееидентифицировать;

· информационныепроцессы –процессысбора,обработки,накопления,хранения,поискаираспространенияинформации;

· информационнаясистема –организационноупорядоченнаясовокупностьдокументов(массивовдокументов)иинформационныхтехнологий,втомчислесиспользованиемсредстввычислительнойтехникиисвязи,реализующихинформационныепроцессы;

· информационныересурсы –отдельныедокументыиотдельныемассивыдокументов,документыимассивыдокументоввинформационныхсистемах(библиотеках,архивах,фондах,банкахданных,другихинформационныхсистемах);

· информацияогражданах(персональныеданные) –сведенияофактах,событияхиобстоятельствахжизнигражданина,позволяющиеидентифицироватьеголичность;

· конфиденциальнаяинформация –документированнаяинформация,доступккоторойограничиваетсявсоответствиисзаконодательствомРоссийскойФедерации;

· пользователь(потребитель)информации –субъект,обращающийсякинформационнойсистемеилипосредникузаполучениемнеобходимойемуинформацииипользующийсяею.

Мы,разумеется,небудемобсуждатькачестводанныхвЗаконеопределений.Обратимлишьвниманиенагибкостьопределенияконфиденциальнойинформации,котораянесводитсяксведениям,составляющимгосударственнуютайну,атакженапонятиеперсональныхданных,закладывающееосновузащитыпоследних.

Законвыделяетследующиецелизащитыинформации:

· предотвращениеутечки,хищения,утраты,искажения,подделкиинформации;

· предотвращениеугрозбезопасностиличности,общества,государства;

· предотвращениенесанкционированныхдействийпоуничтожению,модификации,искажению,копированию,блокированиюинформации;

· предотвращениедругихформнезаконноговмешательствавинформационныересурсыиинформационныесистемы,обеспечениеправовогорежимадокументированнойинформациикакобъектасобственности;

· защитаконституционныхправгражданнасохранениеличнойтайныиконфиденциальностиперсональныхданных,имеющихсявинформационныхсистемах;

· сохранениегосударственнойтайны,конфиденциальностидокументированнойинформациивсоответствиисзаконодательством;

· обеспечениеправсубъектоввинформационныхпроцессахиприразработке,производствеипримененииинформационныхсистем,технологийисредствихобеспечения.

Отметим,чтоЗаконнапервоеместоставитсохранениеконфиденциальностиинформации.Целостностьпредставленатакжедостаточнополно,хотяинавторомместе.Одоступности("предотвращениенесанкционированныхдействийпо...блокированиюинформации")сказанодовольномало.

Продолжимцитирование:

"Защитеподлежитлюбаядокументированнаяинформация,неправомерноеобращениескоторойможетнанестиущербеесобственнику,владельцу,пользователюииномулицу".

Посути,этоположениеконстатирует,чтозащитаинформациинаправленанаобеспечениеинтересовсубъектовинформационныхотношений.

Далее."Режимзащитыинформацииустанавливается:

· вотношениисведений,отнесенныхкгосударственнойтайне,–уполномоченнымиорганаминаоснованииЗаконаРоссийскойФедерации"Огосударственнойтайне";

· вотношенииконфиденциальнойдокументированнойинформации–собственникоминформационныхресурсовилиуполномоченнымлицомнаоснованиинастоящегоФедеральногозакона;

· вотношенииперсональныхданных–Федеральнымзаконом…"

Здесьявновыделенытривидазащищаемойинформации,ковторомуизкоторыхпринадлежит,вчастности,коммерческаяинформация.Посколькузащитеподлежиттолькодокументированнаяинформация,необходимымусловиемявляетсяфиксациякоммерческойинформациинаматериальномносителеиснабжениееереквизитами.Отметим,чтовданномместеЗаконаречьидеттолькооконфиденциальности;остальныеаспектыИБзабыты.

Обратимвнимание,чтозащитугосударственнойтайныиперсональныхданныхберетнасебягосударство;задругуюконфиденциальнуюинформациюотвечаютеесобственники.Какжезащищатьинформацию?Вкачествеосновногозаконпредлагаетдляэтойцелимощныеуниверсальныесредства:лицензированиеисертификацию.

Процитируемстатью19.

1. Информационныесистемы,базыибанкиданных,предназначенныедляинформационногообслуживаниягражданиорганизаций,подлежатсертификациивпорядке,установленномЗакономРоссийскойФедерации"Осертификациипродукциииуслуг".
2. ИнформационныесистемыоргановгосударственнойвластиРоссийскойФедерациииоргановгосударственнойвластисубъектовРоссийскойФедерации,другихгосударственныхорганов,организаций,которыеобрабатываютдокументированнуюинформациюсограниченнымдоступом,атакжесредствазащитыэтихсистемподлежатобязательнойсертификации.ПорядоксертификацииопределяетсязаконодательствомРоссийскойФедерации.
3. Организации,выполняющиеработывобластипроектирования,производствасредствзащитыинформациииобработкиперсональныхданных,получаютлицензиинаэтотвиддеятельности.ПорядоклицензированияопределяетсязаконодательствомРоссийскойФедерации.
4. ИнтересыпотребителяинформацииприиспользованииимпортнойпродукциивинформационныхсистемахзащищаютсятаможеннымиорганамиРоссийскойФедерациинаосновемеждународнойсистемысертификации.

Здесьтрудноудержатьсяотриторическоговопроса:аестьливРоссииинформационныесистемыбезимпортнойпродукции?Получается,чтоназащитеинтересовпотребителейстоитвданномслучаетолькотаможня...

Иещенесколькопунктов,теперьизстатьи22:

1. Владелецдокументов,массивадокументов,информационныхсистемобеспечиваетуровеньзащитыинформациивсоответствиисзаконодательствомРоссийскойФедерации.
2. Риск,связанныйсиспользованиемнесертифицированныхинформационныхсистемисредствихобеспечения,лежитнасобственнике(владельце)этихсистемисредств.Риск,связанныйсиспользованиеминформации,полученнойизнесертифицированнойсистемы,лежитнапотребителеинформации.
3. Собственникдокументов,массивадокументов,информационныхсистемможетобращатьсяворганизации,осуществляющиесертификациюсредствзащитыинформационныхсистемиинформационныхресурсов,дляпроведенияанализадостаточностимерзащитыегоресурсовисистемиполученияконсультаций.
4. Владелецдокументов,массивадокументов,информационныхсистемобязаноповещатьсобственникаинформационныхресурсови(или)информационныхсистемовсехфактахнарушениярежимазащитыинформации.

Изпункта5следует,чтодолжныобнаруживатьсявсе(успешные)атакинаИС.Вспомнимвэтойсвязиодинизрезультатовопроса,околотретиреспондентовнезнали,былиливзломаныихИСзапоследние12месяцев.Позаконодательствуихможнобылобыпривлечькответственности...

Далее,статья23 "Защитаправсубъектоввсфереинформационныхпроцессовиинформатизации" содержитследующийпункт:

Защитаправсубъектоввуказаннойсфереосуществляетсясудом,арбитражнымсудом,третейскимсудомсучетомспецификиправонарушенийинанесенногоущерба.

Оченьважнымиявляютсяпунктыстатьи5,касающиесяюридическойсилы электронногодокументаиэлектроннойцифровойподписи:

3. Юридическаясиладокумента,хранимого,обрабатываемогоипередаваемогоспомощьюавтоматизированныхинформационныхителекоммуникационныхсистем,можетподтверждатьсяэлектроннойцифровойподписью.
Юридическаясилаэлектроннойцифровойподписипризнаетсяприналичиивавтоматизированнойинформационнойсистемепрограммно-техническихсредств,обеспечивающихидентификациюподписи,исоблюденииустановленногорежимаихиспользования.

4. Правоудостоверятьидентичностьэлектроннойцифровойподписиосуществляетсянаоснованиилицензии.ПорядоквыдачилицензийопределяетсязаконодательствомРоссийскойФедерации.

Такимобразом,Законпредлагаетдейственноесредствоконтроляцелостностиирешенияпроблемы"неотказуемости"(невозможностиотказатьсяотсобственнойподписи).

ТаковыважнейшиеположенияЗакона"Обинформации,информатизацииизащитеинформации".