Организационные и правовые методы защиты информации
В вычислительных системах и сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных системах и сетях должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т. е. должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в вычислительных системах и сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность [11].
Существует множество возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- маскировка под зарегистрированного пользователя;
- использование программных ловушек;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов и др.
Обеспечение безопасности информации в вычислительных системах и сетях и в автономно работающих компьютеров достигается комплексом организационных, правовых, технических и программных мер.
К организационным мерам защиты относятся:
1. Ограничение доступа в помещения, в которых происходит подготовка и обработка информации.
2. Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц.
3. Хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах.
4. Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т. д.
5. Использование криптографических кодов при передаче по каналам связи ценной информации.
6. Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.
Правовые методы защитыпрограмм включают:
1. Патентную защиту.
2. Закон о производственных секретах.
3. Лицензионные соглашения и контракты.
4. Закон об авторском праве.
Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Однако само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты.
Патентная защитаустанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.
Статус производственного секретадля программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т. п.). Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.
Лицензионные соглашенияраспространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав. Лицензия– договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программы; лицензиат извлекает доходы за счет их применения. В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий.
Закон об авторском праве программного продукта признает автором физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его имущественных прав принадлежат личные авторские права: авторство, имя, неприкосновенность (целостность) программ. Программные продукты могут использоваться третьими лицами – пользователями на основании договора с правообладателем.
Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд особенностей, обусловленных следующими обстоятельствами:
- представлением информации в привычной и неудобочитаемой для человека двоичной форме;
- использованием носителей информации, записи на которых недоступны для простого визуального просмотра;
- возможностью многократного копирования информации без оставления каких-либо следов;
- легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т. п.;
- невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;
- наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.
Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:
- организационно-правовая основа защиты информации;
- технико-экономические аспекты организационно-правового обеспечения защиты;
- юридические аспекты организационно-правового обеспечения защиты.
Дадим краткую характеристику каждому классу.
Организационно-правовая основа защиты информации включает:
- определение подразделений и лиц, ответственных за организацию защиты информации;
- нормативно-правовые, руководящие и методические материалы (документы) по защите информации;
- меры ответственности за нарушение правил защиты;
- порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:
- фиксация на документе персональных идентификаторов (подписей) лиц, изготовивших документ и (или) несущих ответственность за него;
- фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;
- возможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими санкции на доступ к ней, т. е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;
- фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.
Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели:
- устанавливается обязательность соблюдения всеми лицами всех правил защиты информации;
- узакониваются меры ответственности за нарушение правил защиты;
- узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;
- узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
Таким образом, вся совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рисунке 4.10.
Рисунок 4.10. Общее содержание организационно-правового обеспечения защиты информации
Для обеспечения защиты информации необходимо создание законодательной основы. Поэтому в ведущих странах, в том числе и в России, этому вопросу уделяется достаточно большое внимание. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям [12].
1. Защита прав личности на частную жизнь. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:
- установление пределов вмешательства в частную жизнь с использованием компьютерных систем;
- введение административных механизмов защиты граждан от такого вмешательства.
Примерами документов, относящихся к этому направлению, являются резолюция Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенции ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1989 г.).
2. Защита государственных интересов. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран – членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.
3. Защита предпринимательской и финансовой деятельности. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и устанавливающего условия для осуществления «добросовестной» конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.
К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.).
В России законодательное регулирование процессов информатизации начало создаваться в начале 90-х годов. Необходимо было срочно законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности.
1991 год – начало активной законотворческой деятельности в этом направлении. Законодатели сконцентрировали свое внимание на следующих наиболее острых для России проблемах:
- проблеме права на информацию;
- проблеме собственности на некоторые виды информации;
- проблеме признания информации объектом товарного характера.
На сегодняшний день в «Декларации прав и свобод человека и гражданина», принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году, закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом.
Принят базовый закон Российской Федерации «Об информации, информатизации и защите информации», который занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике России:
- определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;
- закрепляет права граждан, организаций, государства на информацию;
- устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов в информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом, порядка правовой защиты информации;
- развивает правовой режим признания за документами, полученными из информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;
- определяет информационные ресурсы как элемент состава имущества и объект права собственности;
- устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;
- разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;
- устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.
В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается в отношении:
- сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
- конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;
- персональных данных – отдельным федеральным законом.
Также приняты специальные законы «О государственной тайне», «О правовой охране программ ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации «О безопасности», принятом в марте 1992 года.