Юридические меры защиты информации

В Российской Федерации вопросам защиты информации посвящены следующие законы и правовые акты:

- "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27.07.2006 N 149-ФЗ.

- «О государственной тайне»Закон РФ от 21.07.1993 г. № 5485-1;

- «Об электронной цифровой подписи»Федеральный законот 10.01.2002 г. № 1-ФЗ

- "Уголовный кодекс Российской Федерации" Федеральный закон от 13.06.1996 N 63-ФЗ

В Уголовном кодексе РФ имеется глава 28 «Преступления в сфере компьютерной информации», которая содержит ряд статей, посвященных нарушению компьютерной безопасности:

- статья 272. Неправомерный доступ к компьютерной информации;

- статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

- статья 274. Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей.

За преступления по этим статьям закон предусматривает суровые меры наказания (до 5 лет лишения свободы)

 

Термины в области компьютерных технологий, применяемые в правовых актах РФ:

- информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

- информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

- доступ к информации - возможность получения информации и ее использования;

- конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

- предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

- распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

- средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;

- электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

 

 

Виды вредоносных действий по отношению к информации, которым противостоят меры обеспечения компьютерной безопасности:

- несанкционированный доступ и посягательства злоумышленников, как извне, так и изнутри компании с целью нарушения целостности, конфиденциальности (секретности) информации и тайны переписки по электронной связи;

- потери информации вследствие ее кражи, удаления, порчи от сбоев, действия вредоносных программ, различных сетевых атак или чрезвычайных обстоятельств.

 

Ключевые понятия в области защиты информации от несанкционированного доступа:

- идентификация — присвоение какому-либо объекту или субъекту уникального имени или образа;

- аутентификация — установление подлинности объекта или субъекта, т. е. проверка, является ли этот субъект (объект) тем, за кого он себя выдает.

 

Каналы утечки конфиденциальной информации:

- просмотр и несанкционированное копирование конфиденциальной информации, размещенной на различных носителях, считывание данных с экрана монитора, сетевого принтера или из сообщений электронной почты;

- вывод на печать и вынос распечатанных документов за пределы контролируемой территории;

- несанкционированная передача информации заинтересованным лицам, публикация конфиденциальных сведений в Интернете и пересылка их по компьютерным сетям;

- хищение носителей, содержащих конфиденциальную информацию, - жестких дисков, магнитных лент, компакт-дисков;

- использование технических средств хищения информации, включающих «шпионскую» записывающую и подслушивающую аппаратуру, клавиатурные жучки, дистанционное фотографирование, перехват сигналов электромагнитного излучения аппаратуры и кабельных соединений линий связи.

 

Классификация средств защиты информации от несанкционированного доступа:

- организационно-административные меры;

- технические средства;

- программные методы.

 

Цели правовых, организационных и технических мер в области защиты информации:

1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2. Соблюдение конфиденциальности информации ограниченного доступа;

3. Реализация права на доступ к информации.

4. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

 

Обладатель информации, оператор информационной системы обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

 

Технические средства обеспечивают:

1. защиту внешних каналов связи и сетевого оборудования;

2. экранирование помещений;

3. использование сетевых фильтров;

4. применение автономных средств защиты аппаратуры и передающих систем с использованием кожухов, защитных экранов, шторок и т. п.;

5. использование специального технического устройства (электронного ключа), подключаемого к порту ввода-вывода компьютера и др.;

6. применение биометрических систем распознавания личности - анализа отпечатков пальцев, радужной оболочки глаз, тембра голоса

 

Программные средства предусматривают:

1. криптографическое кодирование(шифрование) информации;

2. использование электронной подписи и электронных сертификатов;

3. установку межсетевых экранов;

4. разграничение прав пользователей и доступак информационным ресурсам;

5. ограничение доступа к документам путем установки паролейна открытие файлов и на разрешение для изменения данных, а также установка атрибутов «скрытый» или «только для чтения»;

6. использование антивирусных и антиспамовых программдля защиты от «компьютерного мусора» - спама - нежелательной корреспонденции из Интернета и сообщений электронной почты.

 

Межсетевые экраны — файерволы (firewall), брандмауэры — являются программно-аппаратными средствами, которые представляют собой барьер, защищающий от несанкционированного вторжения во внутреннюю локальную сеть и обеспечивающий безопасный доступ к внешней сети.

Однако следует иметь в виду, что межсетевой экран не может надежно защитить от:

1. вирусов;

2. троянских программ;

3. социальной инженерии;

4. некомпетентности пользователей;

5. атак изнутри сети.