Лекция 2 Правовое и нормативное обеспечение защиты информации
2.1 Правовое и нормативное обеспечение защиты информации
Программно-технические методы защиты информации, какими бы совершенными они ни были, в полном объеме не решают задач комплексной защиты объектов информационной безопасности. Используемые при этом физические, аппаратные, программные, криптографические и иные логические и технические средства и методы защиты выполняются без участия человека по заранее предусмотренной процедуре. Для обеспечения комплексного подхода к обеспечению защиты объектов информационной безопасности должны быть соответствующие правовые акты, устанавливающие порядок защиты и ответственность за его нарушение. Основные правовые акты, регламентирующие защиту информации в Республике Беларусь:
КОНЦЕПЦИЯ национальной безопасности Республики Беларусь, утв. Указом Президента РБ от 9 ноября 2010 г. №575
Закон РБ от 10 ноября 2008 г. N 455-З «Об информации, информатизации и защите информации»,
Закон РБ от 19 июля 2010 г. N 170-З "О государственных секретах",
Закон РБ от 3 декабря 1997 г. № 102‑З "Об органах государственной безопасности Республики Беларусь",
Постановление Совета Министров РБ от 15 февраля 1999 г. № 237 "О служебной информации ограниченного распространения",
Постановление Совета Министров РБ от 10 февраля 2000 г. № 186 "О некоторых мерах по защите информации в Республике Беларусь".
К нормативному обеспечению защиты информации относятся межнациональные и национальные стандарты и другие нормативные документы, например, профили защиты. Примеры межнациональных стандартов – стандарты [1], национальных – [1]. Рассмотрим более подробно правовое обеспечение защиты информации в Беларуси.
2.2.Концепция национальной безопасности. Законы «Об информации, информатизации и защите информации», «О государственных секретах», «Об органах государственной безопасности Республики Беларусь»
2.2.1 Концепция национальной безопасности. С точки зрения защиты информации наиболее важной главой Концепции является ГЛАВА 8 Основные направления нейтрализации внутренних источников угроз и защиты от внешних угроз национальной безопасности, в том числе следующие статьи
49. В политической сфере нейтрализация внутренних источников угроз национальной безопасности обеспечивается…
50. Необходимым условием нейтрализации внутренних источников угроз национальной безопасности в экономической сфере…
54. В информационной сфере с целью нейтрализации внутренних источников угроз национальной безопасности совершенствуются механизмы реализации прав граждан на получение, хранение, пользование и распоряжение информацией, в том числе с использованием современных информационно-коммуникационных технологий. Государство гарантирует обеспечение установленного законодательством порядка доступа к государственным информационным ресурсам, в том числе удаленного, и возможностям получения информационных услуг. Значимым этапом станет разработка и реализация стратегии всеобъемлющей информатизации, ориентированной на развитие электронной системы осуществления административных процедур, оказываемых гражданам и бизнесу государственными органами и иными организациями, и переход государственного аппарата на работу по принципу информационного взаимодействия. Ускоренными темпами будет развиваться индустрия информационных и телекоммуникационных технологий….
Приоритетным направлением является совершенствование нормативной правовой базы обеспечения информационной безопасности и завершение формирования комплексной государственной системы обеспечения информационной безопасности, в том числе путем оптимизации механизмов государственного регулирования деятельности в этой сфере. При этом важное значение отводится наращиванию деятельности правоохранительных органов по предупреждению, выявлению и пресечению преступлений против информационной безопасности, а также надежному обеспечению безопасности информации, охраняемой в соответствии с законодательством. Активно продолжится разработка и внедрение современных методов и средств защиты информации в информационных системах, используемых в инфраструктуре, являющейся жизненно важной для страны, отказ или разрушение которой может оказать существенное отрицательное воздействие на национальную безопасность….
Защита от внешних угроз национальной безопасности в информационной сфере осуществляется путем участия РБ в международных договорах, регулирующих на равноправной основе мировой информационный обмен, в создании и использовании межгосударственных, международных глобальных информационных сетей и систем. Для недопущения технологической зависимости государство сохранит роль регулятора при внедрении иностранных информационных технологий
2.2.2 Закон «Об информации, информатизации и защите информации» регулирует правоотношения, возникающие в процессе формирования и использования документированной информации информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей; определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации. Термины, используемые в Законе, и их определения приведены в прилагаемом к лекции тексте Закона. Ниже приведены названия наиболее важных глав и статей, которые содержатся в рассматриваемом Законе. Это:
Глава 7. ЗАЩИТА ИНФОРМАЦИИ, в том числе
Статья 27. Цели защиты информации
Статья 28. Основные требования по защите информации
Статья 29. Меры по защите информации
Статья 30. Организация защиты информации
Статья 31. Права и обязанности субъектов информационных отношений по защите информации
Глава 8. Права и обязанности субъектов информационных отношений. ответственность за нарушение требований законодательства об информации, информатизации и защите информации, в том числе
Статья 33. Права и обязанности обладателя информации
Статья 34. Права и обязанности пользователя информации
Статья 35. Права и обязанности пользователя информационной системы и (или) информационной сети
Статья 36. Права и обязанности собственника информационных ресурсов
Статья 41. Ответственность за нарушение законодательства об информации, информатизации и защите информации
КонсультантПлюс: примечание.
Ответственность за совершение административных правонарушений в области информации предусмотрена гл. 22 Кодекса Республики Беларусь об административных правонарушениях; ответственность за совершение преступлений против информационной безопасности предусмотрена гл. 31 Уголовного кодекса Республики Беларусь.
Нарушение законодательства об информации, информатизации и защите информации влечет ответственность в соответствии с законодательными актами Республики Беларусь.
Содержание вышеперечисленных статей приведено в прилагаемом к лекции тексте Закона
2.2.3 Закон "О государственных секретах". Гражданам Республики Беларусь гарантируется право на получение, хранение и распространение полной, достоверной и своевременной информации по всем вопросам жизнедеятельности государства и общества. Наряду с этим требуется ограничение распространения определенных сведений, относящихся к обеспечению национальных интересов государства и общества, их безопасности и обороноспособности, преждевременное предание гласности которых может нанести ущерб Республике Беларусь.
Настоящий Закон определяет правовые и организационные основы отнесения сведений к государственным секретам, защиты государственных секретов, осуществления иной деятельности в сфере государственных секретов в целях обеспечения национальной безопасности Республики Беларусь. Полный текст Закона прилагается.
Основные понятия, применяемые в законе: Государственные секреты — см. п. 1.3.1 этого конспекта лекций. Категории государственных секретов, а также определение понятий «Государственная тайна» и«Служебная тайна» — см. п. 1.3.1 этого конспекта лекций.
Особый интерес в Законе представляет ГЛАВА 4 Сведения, которые могут быть отнесены либо не могут быть отнесены к государственным секретам. В частности, к государственным секретам могут быть отнесены:
сведения в области политики:
о стратегии и тактике внешней политики, а также внешнеэкономической деятельности;
о подготовке, заключении, содержании, выполнении, приостановлении или прекращении действия международных договоров Республики Беларусь;
об экспорте и импорте вооружения и военной техники; и т. д.
К государственным секретам не могут быть отнесены сведения:
являющиеся общедоступной информацией, доступ к которой, распространение и (или) предоставление которой не могут быть ограничены в соответствии с законодательными актами Республики Беларусь;
находящиеся в собственности иностранных государств, международных организаций, межгосударственных образований и переданные Республике Беларусь.
Для государственных секретов в зависимости от тяжести последствий, которые наступили или могут наступить, размера вреда, который причинен или может быть причинен в результате их разглашения или утраты, устанавливаются следующие степени секретности:
для государственной тайны - "Особой важности", "Совершенно секретно";
для служебной тайны - "Секретно".Присвоение указанным носителям государственных секретов других ограничительных грифов, не предусмотренных настоящей статьей, запрещается.
В отсутствие этого закона двести лет назад одна очень известная француженка, имеющая отца-преуспевающего экономиста, высказалась о секретах и тайнах в российской империи, куда входила Беларусь, следующим образом:
В России все – секретно, и ничто не тайна.
Мадам де Сталь
(Анна Луиза Жермена де Сталь (1766–1817), французская писательница (романы «Джейн Грей» /1790/, «Дельфина» /1802/, «Коринна или Италия» /1807/), теоретик литературы, публицист (проблемы революции и литературы), рекомендовала главе французской Директории Баррасу претендента на должность министра иностранных дел (Талейрана), дочь известного французского финансиста, затем министра финансов Франции Жака Некера (1732–1804), который разбогател, работая в банке, с помощью умелых финансовых операций
2.2.4 Закон "Об органах государственной безопасности Республики Беларусь". Этот Закон определяет правовые основы, принципы, основные задачи и направления деятельности органов государственной безопасности Республики Беларусь:
Организация и обеспечение криптографической и инженерно-технической безопасности шифрованной, засекреченной и кодированной связи в Республике Беларусь и ее учреждениях за рубежом, осуществление государственного контроля за этой деятельностью;
Обеспечение государственных органов, предприятий, учреждений и организаций правительственной и оперативной связью, а также организация и обеспечение криптографической и инженерно-технической безопасности шифрованной, засекреченной и кодированной связи в Республике Беларусь и ее учреждениях за рубежом, осуществление государственного контроля за этой деятельностью.
Правительственная и оперативная связь (обеспечение). Правительственная (телефонная и документальная) и оперативная (телефонная) связь являются специальными системами электрической связи, обеспечивающими секретность передаваемой по ним информации. Правительственная связь организуется в интересах государственных органов. Оперативная связь организуется в интересах правоохранительных органов. Подразделения правительственной связи органов государственной безопасности обеспечивают государственные органы, предприятия, учреждения и организации правительственной и оперативной связью, а также организуют деятельность республиканских органов государственного управления, предприятий, учреждений и организаций по обеспечению криптографической и инженерно-технической безопасности шифрованной, засекреченной и кодированной связи в Республике Беларусь и ее учреждениях за рубежом, осуществляют государственный контроль за этой деятельностью. Они должны:
Осуществлять контроль в пределах своей компетенции за использованием на территории Республики Беларусь излучающих радиоэлектронных средств любого назначения и запрещать использование этих средств, работающих с нарушением установленных правил обращения с информацией, составляющей государственную тайну, либо создающих радиопомехи функционированию средств правительственной и оперативной радиосвязи;
Осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной, засекреченной и кодированной связи в государственных органах, на предприятиях, в учреждениях и организациях независимо от их ведомственной принадлежности, а также секретно-шифровальной работы в учреждениях Республики Беларусь, находящихся за рубежом.
2.3 Постановления Совета Министров РБ «О служебной информации ограниченного распространения», «О некоторых мерах по защите информации в Республике Беларусь», регулирующие защиту служебной информации и правовую защиту от компьютерных преступлений
2.3.1. Определение служебной информации ограниченного распространения и состав входящих в неё сведений в соответствии с Постановлением Совета Министров РБ «О служебной информации ограниченного распространения» приведены в п. 1.3.1 этого конспекта лекций.
2.3.2 Постановление Совета Министров РБ «О некоторых мерах по защите информации в Республике Беларусь» констатирует, что при обработке информации, отнесенной к госсекретам и служебной информации ограниченного распространения с использованием средств электронно-вычислительной техники, должны применяться защищенные по требованиям безопасности информации компьютерные системы, изготавливаемые, как правило, на предприятиях РБ. В обоснованных случаях могут применяться компьютерные системы импортного производства, прошедшие специальные исследования и обеспеченные защитой, необходимый уровень которой подтвержден сертификатом соответствия.
2.3.3 Правовая защита от компьютерных преступлений. В 1983 г. Международная организация экономического сотрудничества и развития определила под термином "компьютерная преступность" (или "связанная с компьютерами преступность") любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей.
Данный термин, возникший первоначально как средство для обозначения появившихся новых способов совершения преступлений, по своему содержанию давно уже перерос в криминологическое понятие, обозначающее самостоятельный вид преступности. В настоящее время этот вид преступности включает в себя в зависимости от уголовно-правового регулирования в тех или иных странах уже целый перечень такого рода деяний и способов их совершения.
С целью унификации национальных законодательств в 1989 г. Комитетом министров Европейского Совета был согласован и утвержден Список правонарушений, рекомендованный странам - участницам ЕС для разработки единой уголовной стратегии по разработке законодательства, связанного с компьютерными преступлениями. Рекомендованный Европейским Советом Список компьютерных преступлений включает в себя так называемые “Минимальный” и “Необязательный списки нарушений”.
2.4. «Минимальный» и «необязательный список нарушений» в компьютерной сфере
"Минимальный список нарушений" содержит следующие восемь видов компьютерных преступлений:
2.4.1 Компьютерное мошенничество. Это ввод, изменение, стирание или повреждение данных ЭВМ или программ ЭВМ, или же другое вмешательство в ход обработки данных, которое влияет на результат обработки данных таким образом, что служит причиной экономических потерь или вызывает состояние потери имущества другого человека с намерением незаконного улучшения экономического положения для себя или другого человека (или как альтернатива с намерением к незаконному лишению этого человека его имущества).
2.4.2 Подделка компьютерной информации. Это несанкционированное стирание, повреждение, ухудшение или подавление данных ЭВМ или программ ЭВМ, или другое вмешательство в ход обработки данных различными способами, или создание таких условий, которые будут, согласно национальному законодательству, составлять такое правонарушение, как подделка в традиционном смысле такого нарушения.
2.4.3 Повреждение данных ЭВМ или программ ЭВМ. Это несанкционированное стирание, повреждение, ухудшение или подавление данных ЭВМ или программ ЭВМ.
2.4.4 Компьютерный саботаж. Это ввод, изменение, стирание, повреждение данных ЭВМ или программ ЭВМ, или вмешательство в системы ЭВМ с намерением препятствовать функционированию компьютера или системы передачи данных.
2.4.5 Несанкционированный доступ. Это несанкционированный доступ к системе ЭВМ через сеть с нарушением средств защиты.
2.4.6 Несанкционированный перехват данных. Это несанкционированный перехват данных с помощью технических средств связи как в пределах компьютера, системы или сети, так и извне.
2.4.7 Несанкционированное использование защищенных компьютерных программ. Это незаконное воспроизведение, распространение программ или связь с программой ЭВМ, которая защищена в соответствии с законом.
2.4.8 Несанкционированное воспроизведение схем. Это несанкционированное воспроизведение схемных решений, защищенных в соответствии с законом о полупроводниковых изделиях (программах), или коммерческая эксплуатация или незаконное импортирование для той же цели схемы или полупроводникового изделия как продукта, произведенного с использованием данных схем.
"Необязательный список нарушений" включает в себя следующие четыре вида компьютерных преступлений:
2.4.9 Незаконное изменение данных ЭВМ или программ ЭВМ.
2.4.10 Компьютерный шпионаж.
2.4.11 Приобретение с использованием незаконных средств или путем несанкционированного раскрытия, пересылка или использование торговых или коммерческих секретов при помощи подобных методов или других незаконных средств с тем или иным намерением, наносящим экономический ущерб человеку путем доступа к его секретам или позволяющим получить незаконное экономическое преимущество для себя или другого человека;
2.4.12 Неразрешенное использование ЭВМ. Использование системы ЭВМ или компьютерной сети без соответствующего разрешения является преступным, когда оно:
инкриминируется в условиях большого риска потерь, вызванных неизвестным лицом, использующим систему или наносящим вред системе или ее функционированию;
инкриминируется неизвестному лицу, имеющему намерение нанести ущерб и использующему для этого систему или наносящему вред системе или ее функционированию;
применяется в случае, когда теряется информация с помощью неизвестного автора, который использовал данную систему или нанес вред системе или ее функционированию.
Использование без разрешения защищенной программы ЭВМ или ее незаконное воспроизводство с намерением исправить программу таким образом, чтобы вызвать незаконную экономическую выгоду для себя или другого человека, или причинить вред законному владельцу данной программы, также является преступлением.
2.5 Глава «Преступления против информационной безопасности» модельного Уголовного Кодекса государств-участников СНГ
В 1995 г. рабочей группой Программного комитета СНГ был подготовлен модельный Уголовный кодекс для государств - участников СНГ, содержащий специальную главу "Преступления против информационной безопасности'". в которую были включены следующие составы компьютерных преступлений. Ниже приведены названия наиболее важных статей этой главы. Это:
Статья 286. Несанкционированный доступ к компьютерной информации
Статья 287. Модификация компьютерной информации
Статья 288. Компьютерный саботаж
Статья 289. Неправомерное завладение компьютерной информацией
Статья 290. Изготовление и сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети
Статья 291. Разработка, использование и распространение вредоносных программ
Статья 292. Нарушение правил эксплуатации компьютерной системы или сети
Некоторые из сформулированных в модельном Уголовном кодексе составов компьютерных преступлений нашли свое отражение в проектах Уголовных кодексов государств - участников СНГ. Так, в проект Уголовного кодекса Российской Федерации включена глава "Преступления против информационной безопасности", содержащая следующие составы преступлений.
Статья 62. Неправомерный доступ к компьютерной информации
Статья 63. Создание, использование и распространение вирусных программ
Статья 64. Нарушение правил эксплуатации компьютерной системы или сети
В новом Уголовном кодексе Республики Беларусь, принятом в 1999 году, в раздел XII "Преступления против информационной безопасности" включена глава 31 "Преступления против информационной безопасности", которая содержит следующие составы компьютерных преступлений.
Статья 349. Несанкционированный доступ к компьютерной информации
Статья 350. Модификации компьютерной информации
Статья 351. Компьютерный саботаж
Статья 352. Неправомерное завладение компьютерной информацией
Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети
Статья 354. Разработка, использование либо распространение вредоносных программ
Статья 355. Нарушение правил эксплуатации компьютерной системы или сети
В раздел VIII нового Уголовного кодекса Республики Беларусь включена глава 24 "Преступления против собственности", которая содержит следующие составы компьютерных преступлений.
Статья 212. Хищение путем использования компьютерной техники
Статья 216. Причинение имущественного ущерба без признаков хищения
Содержание вышеперечисленных статей вышеназванных документов приведено в прилагаемой к конспекту книге В.Ф.Голикова 2004 г.