Правовое регулирование в области информационной безопасности

Тема 12. Правовое регулирование информационной безопасности.
1. Понятие информационной безопасности.
2. Система информационной безопасности.
3. Виды информационных угроз.
4. Основные правовые методы защиты информационной безопасности.
1. Понятие информационной безопасности.
Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такоеинформационная безопасность. Термин «информационная безопасность» может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущербсубъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры .
ГОСТ «Защита информации. Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ееконфиденциальность, доступность ицелостность.

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации . Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называютсяисточниками угрозы.
Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.
Угрозы можно классифицировать по нескольким критериям:

  • посвойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура,поддерживающая инфраструктура);
  • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуетсякомплексный подход. Выделяют следующие уровни защиты информации:

  1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
  2. административный – комплекс мер, предпринимаемых локально руководством организации;
  3. процедурный уровень – меры безопасности, реализуемые людьми;
  4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятияпредметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное)отношение к людям, нарушающим информационнуюбезопасность.
1.2. ФЗ «Об информации, информационных технологиях и о защите информации»
В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.
Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация — сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  • конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
  2. установление ограничений доступа к информации только федеральными законами;
  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
  4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
  5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  6. достоверность информации и своевременность ее предоставления;
  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Всяинформация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и инаяинформация,доступ к которой не ограничен. В законе, определяетсяинформация, к которой нельзя ограничитьдоступ, например,информация об окружающей среде или деятельности государственных органов. Оговаривается также, чтоограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации,доступк которой ограничен федеральными законами.
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.
Дается следующееопределение защите информации — представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  2. соблюдение конфиденциальности информации ограниченного доступа;
  3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  2. своевременное обнаружение фактов несанкционированного доступа к информации;
  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.
2. Система информационной безопасности.
Принципы построения системы информационной безопасности
Система информационной безопасности охватывает все компоненты информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает конфиденциальность, целостность и доступность информации. Система информационной безопасности обеспечивает безопасное функционирование бизнес-процессов и не препятствует работе пользователей с информационными ресурсами.
Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 («Нормы и правила при обеспечении безопасности информации»). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

  • Стратегия информационной безопасности — описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности;
  • Организационные вопросы — дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности;
  • Классификация информационных ресурсов — описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;
  • Управление персоналом — описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;
  • Обеспечение физической безопасности — описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;
  • Администрирование информационных систем — описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами;
  • Управление доступом — описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;
  • Разработка и сопровождение информационных систем — описывает основные механизмы обеспечения безопасности информационных систем;
  • Обеспечение непрерывности бизнеса — описывает мероприятия по обеспечению непрерывной работы организаций;
  • Обеспечение соответствия предъявляемым требованиям — описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

Выбор мер и средств обеспечения информационной безопасности делается на основе анализа рисков, которым подвергаются компоненты информационной инфраструктуры. Критериями информационной безопасности являются сохранение конфиденциальности, целостности и доступности ее информационных ресурсов. При этом потеря любого из вышеперечисленных качеств информации должна рассматриваться как нарушение информационной безопасности.
Анализ рисков и структура нарушения информационной безопасности
Система информационной безопасности предусматривает обеспечение защиты компонентов информационной инфраструктуры от рисков нарушения безопасности ИТ-ресурсов и связанных с ними ИТ-сервисов.
Система информационной безопасности представляет собой интегрированный комплекс административных мер и программно-технических средств по обеспечению безопасности информационных ресурсов. Для реализации системы информационной безопасности принципиальной составляющей является административная часть системы, в которую входят:

  • процесс обеспечения информационной безопасности, входящий в систему администрирования и обеспечивающий контроль над функционированием системы информационной безопасности (см. раздел СА настоящего проекта);
  • политика информационной безопасности, которая определяет основные положения и сферу действия системы информационной безопасности;
  • политики безопасности использования информационных сервисов, которые определяют конкретные требования по обеспечению безопасности компонентов информационной инфраструктуры безопасности;
  • процедуры обеспечения политик безопасности, описывающие средства и мероприятия по реализации требований политик безопасности и контролю их выполнением (разрабатываются на этапе реализации системы информационной безопасности).

Политики и процедуры обеспечения информационной безопасности обеспечивают защиту информационной инфраструктуры от ИТ-рисков путем реализации соответствующих контрмер.
Составной частью системы информационной безопасности является система обеспечения непрерывности бизнеса, которая предусматривает решение вопросов, связанных с восстановлением и обеспечением непрерывности бизнес-процессов.
3. Виды информационных угроз.
Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию.
Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа. В настоящее время известно достаточно большое количество угроз, которые классифицируют по различным признакам.
По природе возникновения различают естественные и искусственныеугрозы. К первой группе относятся те, что вызваны воздействием на компьютерную систему объективных физических процессов или стихийных природных явлений. Вторая группа – те угрозы, которые обусловлены деятельностью человека.
По степени преднамеренности проявления, угрозы разделяют на случайные
и преднамеренные.
Также есть разделение в зависимости от их непосредственного источника, в качестве которого может выступать природная среда (например, стихийные бедствия), человек (разглашение конфиденциальных данных), программно-аппаратные средства: санкционированные (ошибка в работе операционной системы) и несанкционированные (заражение системы вирусами).
Источник угроз может иметь разное положение. В зависимости от этого фактора также выделяют три группы:
— Угрозы, источник которых находятся вне контролируемой группы компьютерной системы (пример – перехват данных, передаваемых по каналам связи)
— Угрозы, источник которых – в пределах контролируемой зоны системы (это может быть хищение носителей информации)
— Угрозы, находящиеся непосредственно в самой системе (например, некорректное использование ресурсов).
Угрозы способны по-разному воздействовать на компьютерную систему. Это могут быть пассивные воздействия, реализация которых не влечет за собой изменение структуры данных (например, копирование). Активные угрозы — это такие, которые, наоборот, меняют структуру и содержание компьютерной системы (внедрение специальных программ).
В соответствии с разделением угроз по этапам доступа пользователей или программ к ресурсам системы существуют такие опасности, которые проявляются на этапе доступа к компьютеру и обнаружимые после разрешения доступа (несанкционированное использование ресурсов).
Классификация по месту расположения в системе подразумевает деление на три группы: угрозы доступа к информации, находящейся на внешних запоминающих устройствах, в оперативной памяти и к той, что циркулирует в линиях связи.
Угрозы могут использовать прямой стандартный путь к ресурсам с помощью незаконно полученных паролей или посредством неправомерного применения терминалов законных пользователей, а могут «обойти» существующие средства защиты иным путем.
Такие действия, как хищение информации, относят к угрозам, проявляющимся независимо от активности системы. А, например, распространение вирусов может быть обнаружено исключительно в процессе обработки данных.
Случайными, или непреднамеренными называются такие угрозы, которые не связаны с действиями злоумышленников. Механизм их реализации изучен достаточно хорошо, поэтому существуют разработанные методы противодействия.
Аварии и стихийные бедствия представляют особую опасность для компьютерных систем, так как они влекут за собой наиболее негативные последствия. Вследствие физического разрушения систем информация становится недоступной, либо утрачивается. Кроме того, невозможно полностью избежать или предупредить сбои и отказы в сложных системах, в результате которых, как правило, хранящаяся на них информация искажается или уничтожается, нарушается алгоритм работы технических устройств.
Ошибки, которые могут быть допущены в процессе разработки компьютерной системы, включая неверные алгоритмы работы и некорректное программное обеспечение, способны привести к последствиям, которые аналогичны тем, что происходят при сбое и отказе в работе технических средств. Более того, подобные ошибки могут использоваться злоумышленниками в целях воздействия на ресурсы системы.
Ошибки пользователей приводят к ослаблению информационной безопасности в 65 % случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками на предприятиях приводит к уничтожению, нарушению целостности и конфиденциальности информации.
Выделяют также преднамеренные угрозы, которые связаны с целенаправленными действиями нарушителя. Изучение этого класса затруднено, так как он имеет очень динамичный характер и постоянно пополняется новыми видами угроз.
Для проникновения в компьютерную систему с целью дальнейшего хищения или уничтожения информации используются такие методы и средства шпионажа, как прослушивание, хищение программ, атрибутов защиты, документов и носителей информации, визуальное наблюдение и другие.
При несанкционированном доступе к данным обычно используют штатные аппаратные и программные средства компьютерных систем, вследствие чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Самые распространенные нарушения – это перехват паролей (производится с помощью специально разработанных программ), выполнение каких-либо действий под именем другого человека, а также использование злоумышленником привилегий законных пользователей.
Специальные вредоносные программы
– «компьютерные вирусы» — это небольшие программы, способные самостоятельно распространятся после внедрения в компьютер путем создания своих копий. При определенных условиях вирусы оказывают негативное воздействие на систему;
– «черви» – утилиты, которые активируются при каждой загрузке компьютера. Они обладают способностью перемещаться в пределах системы или сети и размножаться аналогично вирусам. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке работы;
– «троянские кони» — такие программы «скрываются» под видом полезного приложения, а, на самом деле, наносят вред компьютеру: разрушают программное обеспечение, копируют и пересылают злоумышленнику файлы с конфиденциальной информацией и т.д.
4. Основные правовые методы защиты информационной безопасности.
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.
Наиболее важными направлениями этой деятельности являются:
внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ;
законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
создание и совершенствование системы обеспечения информационной безопасности РФ;
усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;

формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Информация как объект юридической защиты

Организационно-правовое обеспечениеинформационной безопасности представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание, и функционирование систем защиты информации на конкретных объектах. Основные функции организационно-правовой базы следующие:

1) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;

2) определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятия и организации в этой области;

3) создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;

4) определение мер ответственности за нарушения правил защиты;

5) определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:

• все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации;

• узакониваются все меры ответственности за нарушение правил защиты информации;

• узакониваются (приобретают юридическую силу) технико-математи­чес­кие решения вопросов организационно-правового обеспечения защиты информации;

• узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

На рис. 6.1–6.3 представлены варианты концептуальных моделей безопасности продукции, личности и информации. Даже беглый анализ этих моделей дает представление о многообразии действий и мероприятий по обеспечению информационной безопасности.

Рис. 6.1. Концептуальная модель безопасности личности

Рис. 6.2. Концептуальная модель безопасности продукции

Рис. 6.3. Концептуальная модель безопасности информации

Созданием законодательной базы в области информационной безопасности каждое государство стремится защитить свои ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:

• информацию открытую – на распространение и использование которой не имеется никаких ограничений;

• информацию запатентованную – охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;

• информацию, «защищаемую» ее собственником, владельцем с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны; к этому виду относят обычно информацию, не известную другим лицам, которая или не может быть запатентована, или умышленно не патентуется с целью избежания или уменьшения риска завладения ее соперниками, конкурентами.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи.

К защищаемой информации относят:

Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.

Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.

Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и характеризуемые понятием «тайна».

Применительно к органам государственной власти и управления под тайной понимается то, что скрывается от других, что известно определенному кругу людей. Иначе говоря, те сведения, которые не подлежат разглашению, и составляют тайну.

Основное направление использования этого понятия – засекречивание государством определенных сведений, сокрытие которых от соперников, потенциального противника дает ему возможность успешно решать жизненно важные вопросы в области обороны страны, политических, научно-техни­ческих и иных проблем с меньшими затратами сил и средств.

К подобному же виду тайны относится засекречивание предприятием, фирмой сведений, которые помогают ему эффективно решать задачи производства и выгодной реализации продукции.

Сюда же примыкают и тайны личной жизни граждан, обычно гарантируемые государством: тайна переписки, врачебная тайна, тайна денежного вкла­да в банке и др. Классификацию информации с точки зрения ее владельца можно представить в виде таблицы (табл. 6.1). Цветом выделена та информация, защита которой обеспечивается государством.

Таблица 6.1

Классификация информации

Владелец Вид информации
Защищаемая Запатентованная Открытая
Секретная Конфиденциальная Патент Авторское право
Личность Личная тайна. Персональные данные Патент физического лица Авторское право физического лица
Общество Коммерческая тайна Патент юридического лица Авторское право юридического лица
Государство Государственная тайна Служебные сведения Государственный патент

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи. При этом различают признаки защищаемой информации:

· засекречивать информацию, т. е. ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;

· чем важнее для собственника информация, тем тщательнее он ее защищает; а для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;

· защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства;

· секретная информация обладает определенным генетическим свойством: если эта информация является основанием для создания новой информации (документов, изделий и т. п.), то созданная на этой основе информация является, как правило, секретной.

Отличительным признаком защищаемой информации является то, что засекречивать ее может только ее собственник (владелец) или уполномоченные им на то лица.

Владельцами (собственниками) защищаемой информации могут быть:

· государство и его структуры (органы); в этом случае к ней относятся сведения, являющиеся государственной, служебной тайной, иные виды защищаемой информации, принадлежащей государству или ведомству; в их числе могут быть и сведения, являющиеся коммерческой тайной;

· предприятия, товарищества, акционерные общества (в том числе и совместные) и другие – информация является их собственностью и составляет коммерческую тайну;

· общественные организации – как правило, партийная тайна, не исключена также государственная и коммерческая тайна;

· граждане государства (их права – тайна переписки, телефонных и телеграфных разговоров, врачебная тайна, персональные данные и др. -гарантируются государством, личные тайны – их личное дело; следует отметить, что государство не несет ответственности за сохранность личных тайн).

Понятие «государственная тайна» является одним из важнейших в системе защиты государственных секретов в любой стране. От ее правильного определения зависит и политика руководства в области защиты секретов.

Определение этого понятия дано в Законе РФ «О государственной тайне»: «Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ».

Модель определения государственных секретов обычно включает в себя следующие существенные признаки.

1. Предметы, явления, события, области деятельности, составляющие государственную тайну.

2. Противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны.

3. Указание в законе, перечне, инструкции сведений, составляющих государственную тайну.

4. Наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т. п. В случае разглашения (утечки) сведений, составляющих государственную тайну.

Сведения, которые могут быть отнесены к государственной тайне, определены в Указе Президента РФ от 30.11.1995 г. № 1203. К ним отнесены сведения (указаны лишь разделы): в областях военной, внешнеполитической и внешнеэкономической, экономической, научной, разведывательной, контрразведывательной и оперативно-розыскной деятельности.

Нельзя засекречивать информацию как имеющую статус государственной тайны:

• если ее утечка (разглашение и т. п.) не влечет ущерба национальной безопасности страны; в нарушение действующих законов;

• если сокрытие информации будет нарушать конституционные и законодательные права граждан;

• для сокрытия деятельности, наносящей ущерб окружающей природной среде, угрожающей жизни и здоровью граждан. Подробнее этот перечень содержится в ст. 7 Закона РФ «О государственной тайне».

К сведениям особой важности следует относить сведения, распространение которых может нанести ущерб интересам РФ в одной или нескольких областях.

К совершенно секретным сведениям следует относить сведения, распространение которых может нанести ущерб интересам министерства (ведомства) или отраслям экономики РФ в одной или нескольких областях.

К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.

Как видно из изложенного, разница между тремя степенями секретности зависит от величины ущерба.

Понятие, виды и размер ущерба разработаны пока еще недостаточно и, видимо, будут отличны для каждого конкретного объекта защиты – содержания сведений, составляющих государственную тайну, сущности отраженных в ней фактов, событий, явлений действительности. В зависимости от вида, содержания и размеров ущерба можно выделить группы некоторых видов ущерба при утечке (или возможной утечке) сведении, составляющих государственную тайну.

Политический ущерб может наступить при утечке сведений политического и внешнеполитического характера, о разведывательной деятельности спецслужб государства и др. Политический ущерб может выражаться в том, что в результате утечки информации могут произойти серьезные изменения в международной обстановке не в пользу РФ, утрата страной политических приоритетов в каких-то областях, ухудшение отношений с какой-либо страной или группой стран и т. д.

Экономический ущерб может наступить при утечке сведений любого содержания: политического, экономического, военного, научно-техничес­кого и т. д. Экономический ущерб может быть выражен прежде всею в денежном исчислении. Экономические потери от утечки информации могут быть прямыми и косвенными.

Так, прямые потери могут наступить в результате утечки секретной информации о системах вооружения, обороны страны, которые в результате этого практически потеряли или утратили свою эффективное и требуют крупных затрат на их замену или переналадку.

Косвенные потери чаще всего выражаются в виде размера упущенной выгоды: срыв переговоров с иностранными фирмами, о выгодных сделках с которыми ранее была договоренность; утрата приоритета в научном исследовании, в результате соперник быстрее довел свои исследования до завершения и запатентовал их и т. д.

Моральный ущерб, как правило, неимущественного характера наступает от утечки информации, вызвавшей или инициировавшей противоправную государству пропагандистскую кампанию, подрывающую репутацию страны, приведшую к выдворению из каких-то государств наших дипломатов, разведчиков, действовавших под дипломатическим прикрытием и т.п.

Проблема засекречивания информации и определения степени секретности сведений, документов, изделий и работ является одной из стержневых во всей деятельности по защите информации. Она имеет большое государственное значение, определяет методологию и методику защиты информации, объем работ по ее защите и другие обстоятельства, связанные с деятельностью государственных органов, предприятий и организаций в этой области. Правила засекречивания информации определяют в конечном счете политику государства в области защиты секретов. Этим и объясняется, что перечни сведений, составляющих государственную тайну, утверждаются у нас в стране на самом высоком уровне, в них находит отражение концепция руководства страны в области защиты государственных секретов.

Засекречивать информацию имеют право органы власти, управления и должностные лица, наделенные соответствующими полномочиями, которые:

• осуществляют политику государства в области защиты информации;

• определяют категории сведений, подлежащих защите и, следовательно, засекречиванию, и закрепляют это в законодательных актах;

• разрабатывают перечни сведений, подлежащих засекречиванию;

• определяют степени секретности документов, изделий, работ и сведений и проставляют на носителях защищаемой информации соответствующие грифы секретности.

Таким образом, засекречивание информации – это совокупность организационно-правовых мер, регламентированных законами и другими нормативными актами, по введению ограничений на распространение и использование информации в интересах се собственника (владельца).

К основным принципам засекречивания информации относят.

1. Законность засекречивания информации. Заключается в осуществлении его строго в рамках действующих законов и других подзаконных нормативных актов. Отступление от этого принципа может нанести серьезный ущерб интересам защиты информации, интересам личности, общества и государства, в частности незаконным сокрытием от общества информации, не требующей засекречивания, или утечки важной информации.

2. Обоснованность засекречивания информации. Заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических или иных последствий этого акта, исходя из баланса жизненно важных интересов личности, общества и государства. Неоправданно засекречивать информацию, вероятность раскрытие которой превышает возможность сохранения ее в тайне.

3. Своевременность засекречивания информации. Заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

4. Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам. Это в первую очередь относится к области защиты государственной тайны. Что касается коммерческой тайны, то предприятия наделены правами засекречивания информации, кроме оговоренных в законе случаев.

В РФ в соответствии с Законом «О государственной тайне» складывается в настоящее время следующая форма засекречивания информации. Закон определяет категории сведений, отнесенных к государственной тайне, затем президент РФ на основе предложений правительства РФ утверждает два перечня: Перечень должностных лиц органов государственной власти и управления, наделенных полномочиями по отнесению сведений к государственной тайне, и Перечень сведений, отнесенных к государственной тайне – для осуществления единой государственной политики в области засекречивания информации.

Руководители, наделенные полномочиями по засекречиванию информации, утверждают своими приказами перечни сведений, подлежащих засекречиванию, в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью. Они же наделяются полномочиями распоряжения этими сведениями, пересмотра степени их секретности и рассекречивания.

Предприятия при определении степени (грифа) секретности документов, изделий, работ по-прежнему будут руководствоваться перечнями сведений, подлежащих засекречиванию. Таким образом, до исполнителей будут доводиться стратегические установки на применение режимных ограничений в конкретных ситуациях. Рассмотренный порядок засекречивания сведений представлен на рис. 6.4.

Степень секретности и конфиденциальности информации, отображенной в документах, изделиях и т. д. не остается постоянной. Она обычно уменьшается и, реже (например, документы представляют историческую и иную ценность), может увеличиваться. Степень секретности и конфиденциальности информации периодически должна пересматриваться. При этом она может быть увеличена, снижена до фактической или рассекречена вообще.

Рассекречивание конфиденциальной и секретной информации, работ, документов, изделий – это деятельность предприятий по снятию (частичному или полному) ограничений на доступ к ранее засекреченной информации, на доступ к ее носителям, вызываемая требованиями законов и объективными факторами: изменением международной и внутригосударственной обстановки, появлением более совершенных видов определенной техники, снятием изделий с производства, передачей (продажей) научно-технических решений оборонного характера в народное хозяйство, продажей изделия за границу и т. д., а также взятием государством на себя международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну. Информация должна оставаться секретной или конфиденциальной до тех пор, пока этого требуют интересы национальной безопасности или конкурентной и коммерческой деятельности предприятия.

Рис. 6.4. Порядок засекречивания информации,
составляющей государственную тайну

Принципиальные аспекты рассекречивания информации могут быть изложены в следующих основных положениях.

1. Информация не подлежит засекречиванию, а засекреченная должна быть рассекречена, если это сделано необоснованно и в нарушение действующих законов, в целях сокрытия нарушений законности, в результате неумелого руководства и должностных ошибок, нарушения конституционных и других законодательных прав граждан.

2. Информация рассекречивается не позднее сроков, установленных при ее засекречивании. Ранее этих сроков подлежит рассекречиванию лишь информация, которая попадает под действие взятых РФ на себя международных обязательств по открытому обмену информацией. Срок засекречивания информации, отнесенной к государственной тайне, не должен превышать 30 лет. Правом продления сроков засекречивания информации наделяются руководители центральных органов федеральной исполнительной власти, осуществившие отнесение соответствующих сведений к государственной тайне.

3. Информация не подлежит засекречиванию, а засекреченная должна быть рассекречена, если содержащиеся в ней новые научные, проектные, технологические и т. п. разработки находятся ниже мирового технологического уровня или достаточно подробно раскрыты в опубликованной зарубежной или в отечественной литературе.

4. Рассекречиванию (разглашению) не подлежат сведения, затрагивающие личную (неслужебную) жизнь граждан страны, если на обратное не имеется согласия самих граждан, а в случае их смерти – их ближайших родственников. Иной порядок такого рассекречивания рассматривается через суд.

Правовые вопросы обеспечения информационной безопасности

11.1. Понятие информационной безопасности, основные задачи и методы ее обеспечения

Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов.

Понятие информационной безопасности получило развитие в Доктрине информационной безопасности Российской Федерации (далее — Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В основу доктринального определения информационной безопасности положено родовое понятие безопасности как «состояния защищенности», закрепленное в Законе РФ «О безопасности». Доктринальная формула объекта защиты соответствует родовому объекту, идентифицированному в Законе РФ «О безопасности» как «жизненно важные интересы». Учитывая роль и значимость Доктрины, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в заданном этим документом направлении, хотя оно и наиболее проблемно, поскольку требует ответа на не найденный до сих пор несколькими поколениями ученых вопрос. Этот вопрос, коль скоро речь идет об объекте защиты, в качестве которого полагаются национальные интересы, определяющиеся совокупностью сбалансированных интересов личности, общества и государства, состоит в определении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда отвечает интересам общества в целом; и наоборот, то, что соответствует интересам всего общества, может явно противоречить интересу отдельного индивида.

Между тем в Доктрине предпринята попытка структурирования национальных интересов Российской Федерации в информационной сфере на основе их четырех составляющих.

Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей в обществе, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая национальных интересов содержит в себе информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике России, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов объединяет в себе развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

И наконец, четвертую составляющую национальных интересов образуют защита информационных ресурсов от несанкционированного доступа и обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Предполагается, что все четыре составляющие национальных интересов в информационной сфере могут, в свою очередь, рассматриваться как совокупность сбалансированных интересов личности, общества и государства. При этом интересы личности заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества заключаются в обеспечении интересов личности в информационной сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные задачи по обеспечению информационной безопасности. На основе национальных интересов Российской Федерации в информационной сфере формируются задачи по обеспечению информационной безопасности. Характер данных задач определяется текущим состоянием сферы информационной безопасности с учетом наличия тех либо иных внешних и внутренних угроз конституционным правам и свободам человека и гражданина, интересам общества и государства.

В Доктрине определены следующие основные задачи по обеспечению информационной безопасности:

  • разработка основных направлений государственной политики в области обеспечения информационной безопасности России, а также мероприятий и механизмов, связанных с реализацией этой программы;
  • развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности России, а также системы противодействия этим угрозам;
  • разработка федеральных целевых программ обеспечения информационной безопасности России;
  • разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также сертификации этих систем и средств;
  • совершенствование нормативно-правовой базы обеспечения информационной безопасности России, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
  • установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
  • координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, организаций независимо от формы собственности в области обеспечения информационной безопасности России;
  • развитие научно-практических основ обеспечения информационной безопасности России с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»;
  • разработка и создание механизмов формирования и реализации государственной информационной политики России;
  • разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
  • обеспечение технологической независимости России в важнейших областях информации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружений и военной техники;
  • разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
  • развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
  • создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
  • расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
  • обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
  • создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Представляется, что условием плодотворности решения указанных задач, как, впрочем, и любых иных, является перевод их в плоскость реальных установок, закрепленных нормативными средствами. Пока этого нет, задачи существуют сами по себе, будучи замкнутыми в системе официальных взглядов.

Методы обеспечения информационной безопасности. Методы обеспечения информационной безопасности делятся на общие и частные. Общие методы, в свою очередь, дифференцируются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности согласно Доктрине относятся разработка нормативных правовых актов, регламентирующих отношения в информационной сфере и нормативных методических документов по вопросам обеспечения информационной безопасности России. Основными направлениями этой деятельности, в частности, являются:

  • законодательное разграничение полномочий в области обеспечения информационной безопасности между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
  • разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
  • законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
  • определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории России, и правовое регулирование деятельности этих организаций;
  • создание правовой базы для формирования в России региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационно безопасности, в частности, являются:

  • создание и совершенствование системы обеспечения информационной безопасности России;
  • усиление правоприменительной деятельности органов исполнительной власти;
  • разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;
  • создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
  • выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;
  • сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
  • контроль за действиями персонала в защищенных информационных системах.

Экономические методы обеспечения информационной безопасности включают в себя:

  • разработку программ обеспечения информационной безопасности России и определение порядка их финансирования;
  • совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Частные методы обеспечения информационной безопасности России разделяются на методы, использование которых обусловлено спецификой различных сфер жизнедеятельности общества и государства. В каждой из этих сфер имеются свои особенности, связанные со своеобразием объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности. Доктрина не указывает прямо на конкретные частные методы, а оперирует объектами, наиболее подверженными воздействию угроз информационной безопасности, и мерами, которые следовало бы принять в сферах экономики, внутренней и внешней политики, науки и техники, духовной жизни, обороны, в общегосударственных информационных и телекоммуникационных системах, в правоохранительной и судебной сферах в условиях чрезвычайных ситуаций.

Правовая защита информации

Как известно, право — это обусловленная природой человека и общества система регулирования общественных отношений, которой присущи нормативность, формальная определенность в официальных источниках и обеспеченность возможностью государственного принуждения. Иначе говоря, это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности.

На государственном уровне правовая защита регулируется государственными и ведомственными актами, такими как Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.

Направления правовой защиты объектов в информационной сфере:

  1. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.
  2. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личные тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.
  3. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации, право на ограничение доступа к информации, права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.

Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

  • наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
  • формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
  • разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

В числе основных подсистем защиты информации в правовом плане можно считать:

  1. установление на объекте режима конфиденциальности;
  2. разграничение доступа к информации;
  3. правовое обеспечение процесса защиты информации;
  4. четкое выделение конфиденциальной информации как основного объекта защиты.

Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности (правовые документы защиты информации).

К таким документам относятся:

  1. Политика Информационной безопасности.
  2. Положение о коммерческой тайне.
  3. Положение о защите персональных данных.
  4. Перечень сведений, составляющих конфиденциальную информацию.
  5. Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию.
  6. Положение о специальном делопроизводстве и документообороте.
  7. Обязательство сотрудника о сохранении конфиденциальной информации.
  8. Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *