Категории: ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника |
Организационные и правовые методы защиты информацииВ вычислительных системах и сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных системах и сетях должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т.е. должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в вычислительных системах и сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность. Существует множество возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе: - чтение остаточной информации в памяти системы после выполнения санкционированных запросов; - маскировка под зарегистрированного пользователя; - использование программных ловушек; - незаконное подключение к аппаратуре и линиям связи; - злоумышленный вывод из строя механизмов защиты; - внедрение и использование компьютерных вирусов и др. Обеспечение безопасности информации в вычислительных системах и сетях и в автономно работающих компьютеров достигается комплексом организационных, правовых, технических и программных мер. К организационным мерам защиты относятся: 1. Ограничение доступа в помещения, в которых происходит подготовка и обработка информации. 2. Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц. 3. Хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах. 4. Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д. 5. Использование криптографических кодов при передаче по каналам связи ценной информации. 6. Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации. Правовые методы защитыпрограмм включают: 1. Патентную защиту. 2. Закон о производственных секретах. 3. Лицензионные соглашения и контракты. 4. Закон об авторском праве. Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Однако само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты. Патентная защита устанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность. Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т.п.). программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений. Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав. Лицензия – договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программы; лицензиат извлекает доходы за счет их применения. В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий. Закон об авторском праве программного продукта признает автором физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его имущественных прав принадлежат личные авторские права: авторство, имя, неприкосновенность (целостность) программ. Программные продукты могут использоваться третьими лицами - пользователями на основании договора с правообладателем. Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд особенностей, обусловленных следующими обстоятельствами: - представлением информации в привычной и неудобочитаемой для человека двоичной форме; - использованием носителей информации, записи на которых недоступны для простого визуального просмотра; - возможностью многократного копирования информации без оставления каких-либо следов; - легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т. п.; - невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей; - наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации. Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса: - организационно-правовая основа защиты информации; - технико-экономические аспекты организационно-правового обеспечения защиты; - юридические аспекты организационно-правового обеспечения защиты. Дадим краткую характеристику каждому классу. Организационно-правовая основа защиты информации включает: - определение подразделений и лиц, ответственных за организацию защиты информации; - нормативно-правовые, руководящие и методические материалы (документы) по защите информации; - меры ответственности за нарушение правил защиты; - порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации. Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие: - фиксация на документе персональных идентификаторов (подписей) лиц, изготовивших документ и (или) несущих ответственность за него; - фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации; - возможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими санкции на доступ к ней, т. е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации; - фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации. Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели: - устанавливается обязательность соблюдения всеми лицами всех правил защиты информации; - узакониваются меры ответственности за нарушение правил защиты; - узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации; - узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты. Таким образом, вся совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рисунке 10.1.
Рисунок 10.1 – Общее содержание организационно-правового обеспечения защиты информации Для обеспечения защиты информации необходимо создание законодательной основы. Поэтому в ведущих странах, в том числе и в России, этому вопросу уделяется достаточно большое внимание. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям. 1. Защита прав личности на частную жизнь. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада: - установление пределов вмешательства в частную жизнь с использованием компьютерных систем; - введение административных механизмов защиты граждан от такого вмешательства. Примерами документов, относящихся к этому направлению, являются резолюция Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенции ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1989 г.). 2. Защита государственных интересов. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран – членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности. 3. Защита предпринимательской и финансовой деятельности. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и устанавливающего условия для осуществления «добросовестной» конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции. К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.). В России законодательное регулирование процессов информатизации начало создаваться в начале 90-х годов. Необходимо было срочно законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности. 1991 год – начало активной законотворческой деятельности в этом направлении. Законодатели сконцентрировали свое внимание на следующих наиболее острых для России проблемах: - проблеме права на информацию; - проблеме собственности на некоторые виды информации; - проблеме признания информации объектом товарного характера. На сегодняшний день в «Декларации прав и свобод человека и гражданина», принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году, закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом. Принят базовый закон Российской Федерации «Об информации, информатизации и защите информации», который занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике России: - определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере; - закрепляет права граждан, организаций, государства на информацию; - устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов в информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом, порядка правовой защиты информации; - развивает правовой режим признания за документами, полученными из информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью; - определяет информационные ресурсы как элемент состава имущества и объект права собственности; - устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере; - разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения; - устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации. В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается: - в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»; - в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона; - в отношении персональных данных – отдельным федеральным законом. Также приняты специальные законы «О государственной тайне», «О правовой охране программ ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации «О безопасности», принятом в марте 1992 года. |
|
Последнее изменение этой страницы: 2016-07-22 lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда... |