Правовые и организационные методы защиты информации в ПК
Государственное регулирование отношений в сфере защиты информации осуществляется путём установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
Наиболее общим законом Российской Федерации является Конституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают вопросы информационной безопасности. Статья 23 Конституции, например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Главы 41 и 42 гарантируют право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.
Базовым законом в области защиты информации является Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
Нарушение требований настоящего Федерального закона влечёт за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Другим важным правовым документом, регламентирующим вопросы защиты информации в ПК, является закон РФ «О государственной тайне». Он принят Постановлением Верховного Совета РФ от 21.07.1993 г. Закон определяет уровни секретности государственной информации (грифы секретности) и соответствующую степень важности информации. Руководствуясь данным законом и «Перечнем сведений, отнесённых к государственной тайне», введённым в действие Указом Президента РФ от 30 ноября 1995 года, соответствующие государственные служащие устанавливают гриф секретности информации. Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесён безопасности Российской Федерации вследствие распространения указанных сведений. Согласно Закону РФ «О государственной тайне» устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений:
· особой важности;
· совершенно секретно;
· секретно.
За государственную измену (статья 275 уголовного кодекса (УК) РФ), то есть шпионаж, выдачу государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности РФ, совершённая гражданином РФ, предусмотрено наказание в виде лишения свободы на срок от 12 до 20 лет со штрафом в размере до 500 тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до 3 лет либо без такового.
За разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены, государственной тайны предусмотрена уголовная ответственность (статья 283 УК РФ). Данное деяние наказывается арестом на срок от 4 до 6 месяцев либо лишением свободы на срок до 4 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет или без такового. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от 3 до 7 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет.
Утрата документов, содержащих государственную тайну (статья 284 УК РФ) наказывается ограничением свободы на срок до 3 лет, либо арестом на срок от 4 до 6 месяцев, либо лишением свободы на срок до 3 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет или без такового.
Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации от 23.09.1992 г. «О правовой охране программ для электронных вычислительных машин и баз данных» и Законом Российской Федерации от 09.07.1993 г. «Об авторском праве и смежных правах».
На основании приведённых правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты информации в подведомственных организациях.
Важной составляющей правового регулирования в области информационных технологий является установление ответственности граждан за противоправные действия при работе с ПК. Преступления, совершенные с использованием ПК или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В нашей стране 1 января 1997 года введён в действие новый Уголовный кодекс РФ. В него впервые включена ЛЕКЦИЯ № 28, в которой определена уголовная ответственность за преступления в области компьютерных технологий.
В статье 272 предусмотрены наказания за неправомерный доступ к охраняемой законом компьютерной информации. За данное деяние предусмотрены наказания, лежащие в диапазоне от денежного штрафа в размере до 200 тысяч рублей (при отягощающих обстоятельствах от 100 тысяч до 300 тысяч рублей) до лишения свободы на срок до 2 лет (при отягощающих обстоятельствах - до 5 лет).
Отягощающими вину обстоятельствами являются: совершение преступления группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.
Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных программ для ЭВМ. По этой статье предусмотрено наказание в виде лишения свободы на срок до 3 лет со штрафом в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до 18 месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от 3 до 7 лет.
В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, если это деяние причинило существенный вред, наказывается лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет, либо обязательными работами на срок от 180 до 240 часов, либо ограничением свободы на срок до 2 лет. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до 4 лет.
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.
Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации ПК для обеспечения заданного уровня безопасности информации.
Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в ПК:
· организация работ по разработке системы защиты информации;
· ограничение доступа на объект и к ресурсам ПК;
· разграничение доступа к ресурсам ПК;
· планирование мероприятий;
· разработка документации;
· воспитание и обучение обслуживающего персонала и пользователей;
· сертификация средств защиты информации;
· лицензирование деятельности по защите информации;
· аттестация объектов защиты;
· совершенствование системы защиты информации;
· оценка эффективности функционирования системы защиты информации;
· контроль выполнения установленных правил работ в ПК.
Организационные методы являются стержнем комплексной системы защиты информации в ПК. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему.
Контрольные вопросы
1. Раскройте понятие «безопасность информации»
2. Что определяет ценность информации?
3. Назовите виды информации в зависимости от категории доступа к ней.
4. Назовите виды информации в зависимости от порядка распространения.
5. Дайте определение следующим понятиям: целостность информации, достоверность информации, доступ к информации, идентификация, аутентификация, утечка информации, угроза безопасности.
6. Назовите основные пути несанкционированного доступа к информации.
7. Назовите и охарактеризуйте каналы утечки информации.
8. Перечислите и охарактеризуйте основные виды угроз безопасности информации в ПК.
9. Какие классы вредоносных программ можно выделить?
10.По каким признакам можно классифицировать компьютерные вирусы?
11.Перечислите виды компьютерных вирусов.
12.Правовые методы защиты информации в ПК.
13.Организационные методы защиты информации в ПК.