ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
НОУ СИБИРСКИЙ ИНСТИТУТ ПРАВА, ЭКОНОМИКИ И УПРАВЛЕНИЯ
КУРСОВАЯ РАБОТА
по дисциплине: Теория информационной безопасности и
методология защиты информации
на тему:
«
Современные проблемы и основные
направления совершенствования защиты
информации
»
Выполнил:
студент факультета «КТиИС»
специальности «Защита информации»
2 курса 1 гр. очной формы обучения
Демешко И.А.
Научный руководитель:
Крячко Е.Ю.
Иркутск 2009 г.
Содержание
Введение………………………………………………………………………………...3
1. Правовое обеспечение информационной безопасности………………………......5
2. Современные проблемы и основные направления совершенствования защиты
информации……………………………………………………………………………..10
2.1. Режим защиты информации……………………………………………………….10
2.2. Правовые способы защиты информации…………………………………………13
2.3. Способы защиты информации в Интернете……………………………………...15
2.4. Доктрина информационной безопасности РФ…………………………………...18
Заключение……………………………………………………………………………...24
Список литературы……………………………………………………………………..26
В последние годы особое внимание уделяется вопросам информационной безопасности, поскольку случаи потери и кражи информации приводят к краху компании или утрате конкурентных преимуществ на рынке. За последние пять лет участились случаи краж интеллектуальной собственности, одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организаций. Монопольное владение конкретной информацией предоставляет конкурентные преимущества на рынке, однако это в свою очередь должно способствовать повышению внимания к построению систем защиты. Защита информации от кражи, изменения или уничтожения приобрела сейчас первоочередное значение.
Не менее важной является задача предотвращения последствий или рисков от информационной атаки, спланированной и проводимой по разработанному сценарию конкурентами. Последствиями подобной атаки могут явиться как прямые потери от коммерчески необоснованного решения, так и затяжные судебные тяжбы для доказательства собственной непричастности или невиновности.
Итак, информационная безопасность становится неотъемлемой частью общей безопасности предприятия, но, несмотря на прогресс в данной области, информационная безопасность понимается под разными углами зрения. Рассмотрим некоторые из них.
Сегодня на рынке услуг информационной безопасности существует множество специализированных решений, поэтому часто эти работы поручают специалистам ИТ - подразделений. Эта практика приводит к построению системы информационной безопасности, направленной на достижение целей ИТ – подразделений. В результате бизнес-подразделения утрачивают возможность рационального ведения бизнеса. Мероприятия по обеспечению информационной безопасности часто не принимаются сотрудниками бизнес-подразделений, поскольку они не могут эффективно собирать информацию и обмениваться ею. что тормозит процесс развития компании. Чтобы решить данные вопросы, создание системы информационной безопасности нужно начинать с анализа целей и требований бизнеса.
Реализовав некоторое техническое решение, можно решить проблему информационной безопасности.
Проблема информационной безопасности является не только технической, но и управленческой. Большинство рисков информационной безопасности можно минимизировать с помощью управленческих решений, рассматривая эти риски в качестве операционных, а остальные - с помощью программных и аппаратных средств.
Цель данной работы - рассмотреть современные проблемы и основные направления совершенствования защиты информации.
Задачи данной работы – показать исследование опыта деятельности индивидов, государств, мирового сообщества по обеспечению своей безопасности в прошлом и настоящем, выявление закономерностей и принципов построения систем безопасности, сравнительный анализ специфических национальных особенностей внутренней и внешней безопасности различными странами. Основных тенденций эволюции и моделей будущих систем глобальной, региональной и внутригосударственной безопасности, критериев оценки их эффективности.
1 Правовое обеспечение информационной безопасности
Каждый человек обладает большим объемом разнообразной информации. По общему правилу обладатель информации вправе самостоятельно определить, какие из известных ему сведений, в каких объемах, кому и когда предоставлять или не предоставлять (п. 4 ст. 29 Конституции РФ). Исключения из этого правила устанавливаются законодательством. С одной стороны, на получение и разглашение информации определенного содержания могут быть введены ограничения. С другой стороны, законодательством определены виды информации, которую необходимо предоставлять для ознакомления в обязательном порядке. Иную имеющуюся у лица информацию, использование которой не регулируется законодательством, оно вправе либо разглашать, либо держать в тайне по своему усмотрению. В сохранении в тайне различных сведений заинтересованы государство, его отдельные органы, общественные объединения и другие структуры, например коммерческие. Поэтому выделяют несколько видов тайн: государственную, служебную, коммерческую и др.[12]
В разные эпохи создавались специальные правовые нормы, защищавшие интересы производителей или даже целых государств от возможной утечки секретов. Например, в Древнем Риме предусматривалось наказание в виде штрафа (равного удвоенной величине причиненных убытков) за принуждение чужих рабов к выдаче тайн их хозяина. Уже в античном мире родилась идея вести торговые книги, тайна которых была разновидностью коммерческой тайны.
В мировой практике законодательного регулирования ценной коммерческой информации употреблялись различные термины, обозначавшие суть этого понятия и использовавшие ключевое слово "тайна". Под промысловой тайной понимались индивидуальные особенности производства и купечески организованного предприятия, включавшие в себя сведения, составлявшие промышленную, фабричную или торговую тайну. Производственной тайной считалось привнесение чего-либо нового в процесс создания благ; фабричной, не только предмет патента (который первыми ввели Англия, Франция и Германия), но и любая особенность производства, именуемая в наше время "ноу-хау"; торговую тайну составляли специфические знания индивидуального характера, например знание мест выгодной закупки товаров, списки покупателей и иное.
В законах Российской империи содержались нормы, предусматривавшие охрану фабричного секрета, торговой тайны и тайны кредитных установлений.
Налаженная в правовом отношении система защиты производственной и коммерческой тайны в царской России и обеспечивавшие ее законы были отменены в ноябре 1917 г. в связи с принятием Декрета о рабочем контроле. В СССР отношение к коммерческой тайне на государственном уровне длительное время было негативным и основывалось на представлении о ней как о капиталистическом инструменте, используемом для утаивания части прибыли от налогообложения и для совершения иных правонарушений.
Появление коммерческой тайны в современной России связано с разрешением в конце 80-х годов предпринимательской деятельности, образованием коммерческих структур и, как следствие, конкуренцией между ними. Попытка регламентировать коммерческую тайну на законодательном уровне впервые была сделана в ныне утративших силу Законе СССР от 4 июня 1990 г. N 1529-1 "О предприятиях в СССР" (ст. 33), Законе РСФСР от 25 декабря 1990 г. N 445-1 "О предприятиях и предпринимательской деятельности" (ст. 28), Законе РСФСР от 24 декабря 1990 г. "О собственности в РСФСР" (ст. 2). Позднее был принят Закон РСФСР от 22 марта 1991 г. N 948-1 "О конкуренции и ограничении монополистической деятельности на товарных рынках", установивший, что разглашение коммерческой тайны является одной из форм недобросовестной конкуренции.
Гражданский кодекс Российской Федерации, принятый в 1994 г., впервые указал на то, какая информация может быть отнесена к коммерческой тайне, и в общем виде установил режим коммерческой тайны.
В то же время в Российской Федерации долгое время отсутствовал специальный закон о коммерческой тайне, несмотря на то, что попытки его принять предпринимались на протяжении почти десятилетнего периода. Первый раз проект закона о коммерческой тайне был внесен в Федеральное Собрание РФ в 1996 г., но не прошел и первого чтения. Вторая редакция была отклонена прежним президентом страны в 1999 г. Лишь 9 июля 2004 г. он был принят Государственной Думой, одобрен Советом Федерации 15 июля 2004 г. и подписан Президентом 29 июля 2004 г.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа.
3) реализацию права на доступ к информации.
Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.[13]
"
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4)недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Нарушение требований Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее Закон) влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.[14]
"
Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
2. Современные проблемы и основные направления совершенствования защиты информации
2.1. Режим защиты информации
Термин "защита информации", закрепляемый в ст. 16 Закона широко употребляется. Толковый словарь "Бизнес и право" правовой системы "Гарант" под данным понятием подразумевает: "все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера".
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Режим защиты информации устанавливается в отношении 3-х групп сведений:
1) сведения, относящиеся к государственной тайне: режим устанавливается уполномоченным государственным органом на основании закона РФ от 1: июля 1993 г. N 5485-1 "О государственной тайне":
2) конфиденциальная информация. Режим защиты информации устанавливается собственником информационных ресурсов или уполномоченным им лицом на основании закона об информации;
3) персональные данные. Режим защиты информации устанавливается специальным Федеральным законом N 152-ФЗ от 27 июля 2006 года "О персональных данных".
Контроль за соблюдением требований к защите информации, а также обеспечение органами мер защиты информационной системы, образующих информацию с ограниченным доступом в негосударственных структурах, возложены на государственные органы. Собственник информации также имеет право осуществить аналогичный контроль. Законом устанавливается только перечни сведений, которые не могут быть отнесены к конкретному виду информации с ограниченным доступом. Исключение - перечень сведений, составляющих государственную тайну.
Например, согласно руководящему документу РД-21-01-2006 "Положению о системе защиты информации в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомном) надзору" (утв. приказом Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. N 624) определены цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральной службе по экологическому, технологическому и атомному надзору, задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием. Требования Положения являются обязательными для работников центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций, на которых возлагаются организация, осуществление и контроль мероприятий по защите информации. Так, головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).
Основные задачи МТОИЗИ:
а) обеспечение единого подхода к организации и осуществлению надзора за соблюдением требований федеральных норм и правил при обеспечении защиты информации в Службе;
б) организация и проведение работ по защите информации в компьютерных и телекоммуникационных сетях центрального аппарата Службы;
в) организация и осуществление контроля и надзора за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе Службы[15]
.
Основные функции МТОИЗИ:
а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;
б) разработка и периодическое уточнение Перечня используемых в Службе сведений конфиденциального характера;
в) анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;
г) предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;
д) защита носителей информации;
е) выявление возможных технических каналов утечки информации ограниченного доступа и фактов разглашения защищаемой информации;
ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов, как федерального уровня, так и принятых в Службе, в области защиты информации.
Систему защиты информации в компьютерных и телекоммуникационных сетях Службы образуют:
- руководитель Службы;
- техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы;
- МТОИЗИ (отделы организации и контроля за защитой информации в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);
- начальники управлений центрального аппарата Службы;
- руководители территориальных органов и подведомственных организаций;
- подразделения (штатные работники) по защите информации территориальных органов и подведомственных организаций;
- пользователи (потребители) информации.
Руководитель Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы. Непосредственное руководство работами по защите информации осуществляет руководитель Службы или один из его заместителей.
МТОИЗИ организует работу по защите информации, а также осуществляет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе. МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей ей.
При этом согласно Положению в целях предотвращения и нейтрализации угроз безопасности информации должны применяться правовые, аппаратно-программные методы и организационно-технические мероприятия.[16]
2.2. Правовые способы защиты информации
Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.
Аппаратно-программные методы включают:
а) аппаратные методы защиты:
- предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;
- исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов;. устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
- применение устройств для шифрования информации;
- выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
б) программные методы защиты:
- предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);
- идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
- определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);
- контроль работы технических средств и пользователей;
- регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;
- уничтожение информации в записывающем устройстве после использования;
- сигнализацию при несанкционированных действиях;
- вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;
в) резервное копирование (хранение копий информации на различных носителях);
г) криптографическое шифрование информации.
Организационно-технические мероприятия предусматривают:
а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;
б) подбор и подготовку персонала для обслуживания СВТ и АС;
в) разработку и утверждение функциональных обязанностей должностных лиц, отвечающих за защиту информации;
г) контроль за действиями персонала в защищенных автоматизированных системах;
д) создание и обеспечение функционирования систем защиты информации ограниченного доступа;
е) сертификацию этих систем по требованиям безопасности информации:
ж) аттестацию СВТ, автоматизированных систем и помещений;
з) привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии па право проведения работ в области защиты информации;
и) стандартизацию способов и средств защиты инф
к) организацию хранения и использования документов и носителей;
л) физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;
м) физические меры защиты (изоляция помещений с СВТ, установка контролируемых зон, пропускной режим, охранная сигнализация).
Защите также подлежат технические средства, не обрабатывающие информацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации, часофикации и другие.[17]
2.3. Способы защиты информации в Интернете
Способы защиты информации в Интернете:
1) организационные (административные) меры, направленные на разработку и создание информационной системы, на построение адекватной требованиям текущего момента времени политики безопасности. На данную группу мер приходится до 50-60% от всех ресурсов, расходуемых на защиту информации. В качестве примера такого рода мер можно привести разработку л принятие правил информационной безопасности на конкретном предприятии;
2) физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. На данные меры тратится при мерно 15-20% от всех ресурсов, расходуемых на защиту информации. Наиболее типичным образцом является организация контрольно-пропускного режима па предприятии;
3) технические (иногда говорят технологические, или аппаратно-программные) меры защиты направлены на обеспечение безопасности непосредственно на каждом компьютерном рабочем месте, в локальной сети, на серверах, на устройствах, входящих в состав телекоммуникаций. На долю этой группы мер выпадает до 20-25% от всех ресурсов, расходуемых на защиту ин формации. К такого рода мерам можно отнести использование различных антивирусов, файерволов и т.д.;
4) законодательные меры, связанные с разработкой и исполнением законодательных и нормативных актов, направленных на пресечение несанкционированных действий с защищаемой информацией и на защиту прав граждан, общества, государства в информационной сфере. На данные меры тратится примерно 5% от всех ресурсов, расходуемых на защиту информации.
Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации, по оценкам зарубежных специалистов, снижает вероятность совершения компьютерных преступлений вдвое.[18]
Кроме того, в обязательном порядке должны быть реализованы следующие организационные мероприятия:
- для всех лиц, имеющих право доступа к служебной и коммерческой тайне, должны быть определены категории доступа;
- определена административная ответственность за сохранность и санк-ционированность доступа к информационным ресурсам:
- налажен периодический системный контроль за качеством защиты информации;
- проведена классификация информации в соответствии с ее важностью. дифференциация на основе этого мер защиты;
- организована физическая защита служебной и коммерческой тайны. Помимо организационно-управленческих мер, существенную роль вборьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные).
Аппаратные методы предназначены для защиты компьютерной техники от нежелательных физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, шифрозамки и устройства идентификации личности.
Программные методы защиты предназначаются для непосредственной защиты информации. Для защиты информации при ее передаче обычно используют различные методы шифрования данных. Как показывает практика, современные методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Например, в США, в соответствии с директивой Министерства финансов, начиная с 1984 г. все общественные и частные организации были обязаны внедрить процедуру шифрования коммерческой информации по системе DES (DataEncryptionStandard). Как правило, российские пользователи справедливо не доверяют зарубежным системам, взлом которых стал любимым развлечением хакеров. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через неделю представило в ООН дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло много лет. Разработаны, сертифицированы и активно используются десятки отечественных систем шифрования. Ряд из них имеют криптографическую защиту, т.е. теоретически не могут быть взломаны за разумное время (менее десяти лет) даже сотрудниками ФАПСИ и уж тем более любопытствующими хакерами.
2.4. Доктрина информационной безопасности РФ
Защита информации осуществляется от:
- утечки (неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками);
- несанкционированного воздействия (воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);
- непреднамеренного воздействия (воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);
- разглашения (несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации);
- несанкционированного доступа (получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации);
- разведки (получения защищаемой информации технической, агентурной разведкой).[19]
В доктрине информационной безопасности РФ защита информационных ресурсов названа в качестве четвертого элемента информационной безопасности РФ.
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Информационная безопасность РФ является неотъемлемым элементом безопасности РФ в целом.
Информационная безопасность обеспечивается совокупность общих и специальных методов (способов).
Виды общих методов обеспечения информационной безопасности: правовые, организационно-технические и экономические.
Правовые методы включают в себя разработку нормативных правовых актов и нормативных методических документов по вопросам обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности РФ являются совершенствование системы обеспечения информационной безопасности РФ, сертификация и стандартизация средств и способов защиты информации, лицензирование деятельности в области защиты государственной тайны, предупреждение и пресечение правонарушений в информационной сфере, создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и др.
Экономические методы обеспечения информационной безопасности РФ включают в себя: разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; создание системы страхования информационных рисков физических и юридических лиц и др.
К специальным методам относят методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах, такие как: создание защищенной многоуровневой системы объединенных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем; повышение уровня профессиональной и специальной подготовки пользователей информационных систем, разработка системы принятия решений по оперативным действиям (реакциям), связанным с развитием чрезвычайных ситуаций и ходом ликвидации их последствий, разработка эффективной системы мониторинга объектов повышенной опасности и прогнозирование чрезвычайных ситуаций, совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, прогнозирование поведения населения под воздействием ложной или недостоверной информации, разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
- выявление и учет источников внутренних и внешних угроз. Проведение их мониторинга и классификации
- разработка и принятие законов и иных правовых актов
- определение приоритетных направлений предотвращения, отражения. Нейтрализации угроз, минимизации ущерба от их реализации
- страхование информационных рисков
- установление стандартов и нормативов в сфере обеспечения информационной безопасности
- разработка федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации
- информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности;
- лицензирование деятельности организаций в области отиты информации;
- аттестация объектов информатизации при проведении работ ,связанных с использованием сведений, составляющих государственную тайну:
- сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи:
- введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
- создание и применение информационных и автоматизированных систем управления в защищенном исполнении.[20]
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации и подлежа; обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Данные отношения по сертификации регулируются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании).
Органом по сертификации является юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации. К функциям (полномочиям) органа но сертификации относятся:
- привлечение на договорной основе для проведения исследований (испытаний) и измерений испытательные лаборатории (центры), аккредитованные в порядке, установленном Правительством Российской Федерации (при этом органы по сертификации не вправе предоставлять аккредитованным испытательным лабораториям (центрам) сведения о заявителе);
- контроль за объектами сертификации, если такой контроль предусмотрен соответствующей схемой обязательной сертификации и договором;
- ведение реестра выданных данным органом сертификатов соответствия:
- информирование соответствующих органов государственного контроля (надзора) за соблюдением требований технических регламентов о продукции, поступившей на сертификацию, но не прошедшей ее;
- приостановление и прекращение действия выданного им сертификата соответствия;
- обеспечение предоставления заявителям информации о порядке проведения обязательной сертификации;
- определение стоимости работ по сертификации на основе утвержденной Правительством РФ методики определения стоимости таких работ.
Ведение единого реестра выданных сертификатов соответствия, а также установление порядка передачи сведений о выданных сертификатах соответствия в единый реестр выданных сертификатов относятся к компетенции федерального органа исполнительной власти по техническому регулированию.
Порядок ведения данного реестра, порядок предоставления содержащихся в нем сведений и порядок оплаты за предоставление содержащихся в реестре сведений устанавливаются Правительством РФ.[21]
Подтверждение соответствия представляет собой документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
Документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров, именуется сертификатом соответствия.
Согласно ст. 25 Закона о техническом регулировании сертификат соответствия включает:
- наименование и местонахождение заявителя;
- наименование и местонахождение изготовителя продукции, прошедшей сертификацию;
- наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;
- информацию об объекте сертификации, позволяющую идентифицировать этот объект;
- наименование технического регламента, на соответствие требованиям которого проводилась сертификация;
- информацию о проведенных исследованиях (испытаниях) и измерениях;
- информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;
- срок действия сертификата соответствия.[22]
Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, а также срок действия сертификата соответствия продукции требованиям технических регламентов, выдаваемою заявителю органом по сертификации, устанавливаются соответствующим техническим регламентом. Орган, осуществляющий обязательную сертификацию, должен быть аккредитован в порядке, установленном Правительством Российской Федерации.
Исследования (испытания) и измерения продукции при осуществлении обязательной сертификации проводятся аккредитованными испытательными лабораториями (центрами), которые проводят исследования (испытания) и измерения продукции в пределах своей области аккредитации на условиях договоров с органами по сертификации. Аккредитованная испытательная лаборатория (центр) обязана обеспечить достоверность результатов исследований (испытаний) и измерений, результаты которых оформляются соответствующими протоколами. На основании данных протоколов аккредитованных испытательных лабораторий (центров) орган по сертификации принимает решение о выдаче или об отказе в выдаче сертификата соответствия.
Заключение
Развитие научно-технического прогресса в XX в., обусловившее появление научно-технических достижений глобального значения, связано с новыми проблемами, затрагивающими интересы не только отдельных лиц и государств. но и международного сообщества в целом. Появление новых научно-технических объектов как результат извечного и постоянного стремления человечества к познанию окружающего мира относится, несомненно, к прогрессивным явлениям, но использование этих объектов может повлечь как позитивные, так и негативные последствия, так как неразрывно связано с рядом этических, политических и правовых проблем ответственности государств и индивидов. Что касается международного права, то в эпоху НТР проблема ответственности приобрела новое звучание, а сам институт ответственности становится интегральной частью любого международного правоотношения, зримо пли незримо присутствуя в нем.
Преступные группировки, конкуренты, а иногда и партнеры заинтересованы в получении информации, составляющей коммерческую тайну. Объектом их интереса могут быть коммерческие переговоры и совещания, деловая и служебная информация, обрабатываемая компьютерной системой фирмы, и т.п. Важнейшим условием обеспечения безопасности является в первую очередь информационная защита, которая складывается из двух направлении:
1. Сокрытие информации, которое может помочь преступнику в осуществлении преступных посягательств.
2. Создание благоприятного имиджа фирмы – распространение сведений, создающих у потенциальных преступников неверное представление о состоянии дел фирмы и в конечном итоге способствующих потере интереса к ней.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, очень помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование, информационных ресурсов фирмы. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
Список литературы
Нормативно-правовые акты
1. Конституция Российской Федерации. (12 декабря 1993). М., 1993.
2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
Специальная литература
3. Багриновский К.А., Хрусталев Е.Ю. Новые информационные технологии. ЭКО. № 7. 2003.
4. Башлыков М.А. Актуальные вопросы информационной безопасности// "Финансовая газета. Региональный выпуск", №4, январь 2006.
5. Бедрань А.В. Согласованная методика проведения аудита информационной безопасности// "Финансовая газета", №6, февраль 2007.
6. Белов А.Н. Защита коммерческой тайны// "Аудиторские ведомости", №4, апрель 2005.
7. Богданов А.А. Всеобщая организационная наука (Тектология). - М., Экономика, 2003.
8. Бриллюэн Л. Наука и теория информации. - М., 2007.
9. Бриллюэн Л. Научная неопределенность и информация, - МЦ 207.
10. Васильев Г.Д. Российский рынок информационной безопасности: новые тенденции// "Финансовая газета", №1, январь 2007.
11. Волков П.В. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации// "Финансовая газета", N 34, август 2006.
12. Громов Г.Р. Роль информационной безопасности в обеспечении эффективного управления современной компанией// "Финансовая газета", №24, июнь 2004.
13. Громов Г.Р. Национальные информационные ресурсы: проблемы промышленной эксплуатации. - М., 2002.
14. Даниловский Ф.В. Информационная безопасность банковских систем// "Финансовая газета. Региональный выпуск", №34, август 2006.
15. Зверева Е.К. Имущественные и исключительные права на информационные продукты, их реализация и защита.// "Право и экономика", 2007, №12.
16. Кряжков А.В. Информационная безопасность.// Государство и право, №3, 2006.
17. Майоров СИ. Информационный бизнес: коммерческое распространение и маркетинг. - М., 2006.
18. Погуляев В.В., Моргунова Е.А. Комментарий к Федеральному закону "Об информации, информатизации и защите информации". - М.: ЗАО Юс-тицинформ, 2006.
19. Поппель Г., Голдстайн Б. Информационная технология - миллионные прибыли. - М., 2004.
20. Саляхов О.Т. Защита программного обеспечения, распространяемого на оптических носителях информации.// "Финансовая'газета", 2004, №44.
21. Соловьев И.Н. Информационная и правовая составляющие безопасности предпринимательской деятельности// "Налоговый вестник", №10, октябрь 2005.
22. Страссман П. Информация в век электроники. - М., 2004.
23. Харкевич А.А. Очерки общей теории информации. - М., 2007.
24. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. М, Армада, 2006.
[12]
Белов А.Н. Защита коммерческой тайны// “Аудиторские ведомости”, №4. апрель 2005., С.25.
[13]
Громов Г.Р. национальные информационные ресурсы: проблемы промышленной эксплуатации. – М., 2002., С.108.
[14]
Саляхов О.Т. Защита программного обеспечения, распространяемого на оптических носителях информации.//”Финансовая газета”, 2004, №44., С.5.
[15]
Васильев Г.Д. российский рынок информационный безопасности: новые тенденции// ”Финансовая газета”, №1, январь 2007., С.12.
[16]
Бриллюэн Л. Наука и теория информации. – М., 2007., С.25.
[17]
Даниловсуий Ф.В. информационная безопасность банковских систем// “Финансовая газета. Региональный выпуск”, №34, август 2006., С.4.
[18]
Погуляев В.В., Моргунова Е.А. Комментарий к Федеральному закону "Об информации, информации и защите информации". - М.: ЗАО Юстицинформ, 2006.. С.28.
[19]
Майоров СИ. Информационный бизнес: коммерческое распространение и маркетинг. - М.. 2006.. С. 145.
[20]
Страсман П. Информация в век электроники. - М.. 2004.. С.81.
[21]
Черкасов В.Н. Бизнес и безопасность. Комплексный подход. М., Армада, 2006., С.78.
[22]
Харкевнч А.А. Очерки общей теории информации. - М., 2007., С.119.