Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Внешние и внутренние угрозы и их источникиСодержание книги
Поиск на нашем сайте
Информационное развитие стран в XX и XXI вв. сформировало два направления деятельности в области обеспечения информационной безопасности. Это деятельность по обеспечению безопасности информационной инфраструктуры в масштабе государства, во-первых, и деятельность по проведению мер информационного противоборства с другими государствами, во-вторых. Например, в США Национальный план обеспечения безопасности информационных систем сопровождается изданием книг с разноцветной обложкой, где излагаются требования к обеспечению безопасности в информационной сфере. Они содержат от 8 до 10 конкретных программ. Аналогичная книга («Зеленая») была одобрена в 1990 г. ФРГ, Великобританией, Францией, Голландией. На ее основе в Европейском Союзе (ЕС) создана система критериев оценки угроз 1Т5Е (Критерии оценки защищенности информационных технологий). В более поздней книге — «Белой» — перечислены восемь компонентов безопасности. Как правило, они касаются таких направлений деятельности, как: определение критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ними угроз; обнаружение нападений и несанкционированных вторжений; разработка разведывательного обеспечения и правовых актов по защите критических информационных систем; своевременный обмен информацией предупреждения; создание возможностей по реагированию, реконфигурации и восстановлению. Аналогичные программы существуют и в других странах. Их реализация мобилизует государственные и общественные структуры, субъектов корпоративных и персональных информационных систем на выработку концепций и мер борьбы с внутренними угрозами и рисками в сфере их информационной безопасности. Наряду с программами обеспечения информационной безопасности разрабатываются и планы информационного противоборства. В зарубежной практике эта часть работ называется «информационными операциями». Печать и телерадиовещание середины 2008 г. сообщают об ужесточении таможенных правил и правил контроля за багажом пассажиров авиафлота в США. Контроль касается всех средств информационных технологий и связи (ноутбуков, мобильных телефонов, других носителей информации). Ноутбуки изымаются на две-три недели, и в каком состоянии они будут возвращены владельцу, неясно. Все это делается во имя борьбы с угрозами так называемого терроризма. Контролю подлежат не только носители информации туристов, но и граждан США. В процессе реализации программ и законодательства в этой области обосновываются системы внешних угроз для других стран и субъектов. Это могут быть реализуемые в разных формах информационные войны, снам, распространение ложной или незаконной рекламы, распространение ложных сведений и т.д. В уже упомянутой коллективной работе, посвященной «информационным операциям», упоминается документ США 1998 г. «Объединенная доктрина борьбы с системами управления» и директива 53600.1 «Информационные операции». В соответствии с этими и подобными документами полагалось, что американские вооруженные силы могут получить в свое распоряжение интегрированную систему принятия решений, базирующуюся на технологиях искусственного интеллекта, использовании нанотехнологий, эффективном анализе информации и т.п., что позволит обеспечить к 2020 г. принятие решений в реальном времени. Естественно, что подобные планы, и особенно в военной области, должны вызвать соответствующую реакцию защиты. Меры по противостоянию внешним информационным угрозам должны быть дифференцированы относительно степени их вредности в области реализации конституционных прав и свобод человека и гражданина; в области защиты интересов государства и общества в целом. При этом важно мобилизовать внимание не столько на прямое участие в информационных войнах, например, сколько на профилактические меры противостояния, предотвращения внешних угроз. Прежде всего — на укрепление правовой основы пресечения, предотвращения вредных для общества форм информационной борьбы — «холодных» и «горячих» войн. А это требует наибольшего сосредоточения внимания на правовом, организационном и техническом уровне обеспечения информационной безопасности относительно национальных систем информатизации, организации каждой информационной системы в отдельности. При организации и оценке деятельности в области обеспечения информационной безопасности важно учитывать следующие условия: 1) точное определение информационного объекта, безопасность которого обеспечивается; 2) информационный статус субъекта, безопасность прав которого обеспечивается; 3) правовой статус субъектов, которые обеспечивают информационную безопасность; 4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят; 5) наличие установки, как, какими способами (мерами) может быть обеспечен необходимый уровень безопасности конкретного информационного объекта и прав субъектов, которые связаны с этим информационным объектом. Основные направления повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти на основе распоряжения Правительства РФ от 27.09.2004 № 1244-р включают восемь направлений: 1) обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференциации ее уровня в различных федеральных органах государственной власти; 2) разработка модели угроз информационной безопасности; 3) определение технических требований и критериев установления критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований; 4) обеспечение эффективного мониторинга состояния информационной безопасности; 5) совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов; 6) проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности; 7) создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, для ограниченного круга органов государственной власти; 8) развитие средств защиты информации систем обеспечения безопасности электронного документооборота, системы контроля действия государственных служащих по работе с информацией; развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита. Правовое оформление гарантий обеспечения Информационной безопасности В Законе об информации при закреплении сферы действия этого закона сказано, что закон регулирует отношения по обеспечению «защиты информации». Соответственно, этот Закон содержит специальную ст. 16, которая так и называется: «Защита информации». В ч. 1 этой статьи установлено, что: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3)реализацию права на доступ к информации». Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, организационных и технических. Они обозначены как неправомерный доступ, неправомерное уничтожение, изменение, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того, чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Необходимо зафиксировать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправомерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность. Так, при характеристике информационного объекта важно уяснить, представлен ли он в форме документа, совокупности документов — базой данных, либо информационной системой, т.е. совокупностью не только данных, но и программным обеспечением, которое также может быть подвергнуто незаконному доступу и другим незаконным действиям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и выходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалификации действий по несанкционированному вмешательству в информационную систему или ее компоненты. Закон называет три категории субъектов, которые должны сами обеспечить соблюдение определенных требований по обеспечению информационной безопасности. Это такие субъекты, как: обладатель информации (не сказано, законный или незаконный); оператор, а также распространитель информации, очевидно СМИ. Попробуем обозначить распределение их ролей относительно принимаемых мер в форме табл. 2. Таблица 2 Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации
Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности распространителя в части перечисленных функций остаются неурегулированными. Но и эти три вида субъектов в соответствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного доступа к открытой информации, к информации ограниченного доступа, а также отнесенной к государственной тайне. В части 2 ст. 16 Закона «Об информации» указано: «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации». В части 5 этой же статьи устанавливается, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. О требованиях к защите информации и информационных технологий корпоративных информационных систем и частных систем в этом Законе ничего не сказано. Между тем вопросы защиты и обеспечения безопасности таких категорий информации, как коммерческая, профессиональная, персональные данные, нуждаются в урегулировании. И это осуществляется специальными федеральными законами. Следует уяснить, что проблема обеспечения безопасности касается не только информации ограниченного доступа. Этот институт должен работать и применительно к информации неограниченного доступа и, возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сам по себе сужает круг пользователей. Открытая же информация может подвергаться неправомерному воздействию — искажению, уничтожению, присвоению — более легко. Это можно видеть на примере некоторых ресурсов Интернета. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливаться для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных деяний и при обеспечении реализации права на доступ. Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются простыми и не ограничиваются только установлением мер по их усиленной охране. Так, для обеспечения безопасности коммерчески значимой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Специфика этого института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требованиям работы с ней с учетом правового режима конфиденциальной информации. И, в процессе ее охраны и защиты, реализуются меры информационного права с учетом специфики гражданско-правовых отношений в договорной, обязательственной практике, а также учет особенностей отношений в области интеллектуальной собственности, в процессах использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, содержащих коммерческую тайну, нормы, определяющие порядок работы с этой информацией, которые реализуют организационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе коммуникаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режима, установленного законом и действиями владельца в соответствии с Законом об информации. При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа необходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного доступа (внутренних для информационной системы и внешних); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкционированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламентами, инструкциями, стандартами, которые разрабатываются с учетом обозначенных выше требований по защите информации в государственных информационных системах. В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта приходится встречаться с его неоднозначностью по составу. Например, коммерческая тайна может касаться документов экономического, организационного характера, но может включать и информацию, относимую к ноу-хау — по российским традициям относимую к объектам интеллектуальной собственности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонарушений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными. В интернет-среде регулирование в направлении обеспечения безопасности осуществляется преимущественно на основе международных стандартов и протоколов, на основе более четкого установления, за что и в каких случаях оператор связи несет ответственность и за что он не должен отвечать (отказ технического оборудования по причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за содержание сообщений и т.п.). В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регулирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютерных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное положение о контроле за международными соединениями информационных компьютерных сетей. Опубликованы также такие документы, как: Временный порядок регистрации названий интернет-страниц, Правила контроля за помещением информации в сети. Как видим, в области обеспечения информационной безопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. В связи с принятием в феврале 2008 г. Стратегии развития информационного общества в Российской Федерации еще предстоит большая работа по углублению и уточнению мер защиты информации как ограниченного доступа, так и информации общего пользования и всех телекоммуникационных средств ее трансляции.
|
||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2016-04-21; просмотров: 348; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.143.241.253 (0.011 с.) |