Неформальные средства защиты
Неформальными называются такие средства защиты, которые реализуются в результате деятельности людей, либо регламентируют эту деятельность. Неформальные средства включают организационные, законодательные и морально-этические меры и средства.
Под организационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации АСОИ для обеспечения безопасности информации. Организационная защиты охватывают все структурные элементы АСОИ на всех этапах ее жизненного цикла.
Можно выделить следующие принципы организации работ, которые способствуют обеспечению информационной безопасности.
Минимизация данных, доступных персоналу. Этот принцип означает, что каждый сотрудник должен знать только те детали процесса обеспечения безопасности данных, которые необходимы ему для выполнения своих обязанностей.
Минимизация связей персонала. Организация технологического цикла сбора, обработки и передачи данных, по мере возможности, должна исключать или минимизировать контакты обслуживающего персонала.
Разделение полномочий. В системах с высокими требованиями по обеспечению безопасности ответственные процедуры выполняются, как правило, после подтверждения их необходимости двумя сотрудниками.
Дублирование контроля. Контроль важнейших операций нельзя поручать одному сотруднику.
Особенности организации обеспечения информационной безопасности отражаются в эксплуатационной документации и функциональных обязанностей персонала, которые разрабатываются с учетом целей и задач, стоящих перед АСОИ, и требований по защите данных в ней.
Законодательные мерыпозволяют сдерживать потенциальных преступников, причем под законодательными мерами понимаются законодательные акты, которыми регламентируются правила использования информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Законодательный уровень защиты информации предусматривают создание в стране законодательной базы, предусматривающей разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. Все это в целом образует информационное законодательство.
Информационное законодательство– это совокупность норм права, регулирующих общественные отношения в информационной сфере.
Предметом правового регулирования в информационной сфере являются:
· создание и распространение информации;
· формирование информационных ресурсов;
· реализация права на поиск, получение, передачу и потребление информации;
· создание и применение информационных систем и технологий;
· создание и применение средств информационной безопасности.
Формирование законодательства в области информационного права в России началось, в основном, со времени появления "Концепции правовой информатизации России", утвержденной Указом Президента РФ от 28.06.93г. №966. В основе информационного законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом – разрешено). Это закреплено в основных международных правовых документах, например, в ст. 3 Всеобщей декларация прав человека от 10.12.48г. и в ст. 29 Конституции Российской Федерации, принятой 12.12.93г. В целях реализации этих прав и свобод принимаемые законодательные акты устанавливают гарантии, обязанности, механизмы защиты и ответственность.
В настоящее время в стране действуют следующие нормативные акты, регулирующие отношения в информационной сфере.
1. Конституция Российской Федерации.
2. Федеральные законы:
· Гражданский кодекс Российской Федерации;
· Уголовный кодекс Российской Федерации;
· Законы "Об информации, информатизации и защите информации", "О лицензировании отдельных видов деятельности", "Об участии в международном информационном обмене", "Об электронной цифровой подписи" и др. (всего около 80 законов);
3. Указы и Распоряжения Президента Российской Федерации.
4. Постановления Правительства Российской Федерации.
5. Другие подзаконные акты: местные, ведомственные и внутриорганизационные.
Совокупность вышеперечисленных документов составляет правовую базу, обеспечивающую нормативное регулирование процессов информационного обмена, в том числе и защиту информации.
К морально-этическим мерам защиты относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения информационных технологий. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаными (например, общепризнанные нормы честности, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний. Например, "Кодекс профессионального поведения членов ассоциации пользователей ЭВМ США" рассматривает как неэтичные действия, которые умышленно или неумышленно:
· нарушают нормальную работу компьютерных систем;
· вызывают неоправданные затраты вычислительных ресурсов;
· нарушают целостность хранимой или обрабатываемой информации;
· нарушают интересы других законных пользователей и т.п.