РефератыОстальные рефератыраработа на тему: анализ нормативно правовых документов безопасности информационного пространства российской федерации

работа на тему: анализ нормативно правовых документов безопасности информационного пространства российской федерации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ ГОУ ВПО ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


КУРСОВАЯ РАБОТА


на тему:


АНАЛИЗ НОРМАТИВНО ПРАВОВЫХ ДОКУМЕНТОВ


БЕЗОПАСНОСТИ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА


РОССИЙСКОЙ ФЕДЕРАЦИИ


Выполнил :


студент 367 группы


Костенко И.В.


Научный руководитель:


ст.преподаватель


Нестерова Ольга Андреевна.


Дата сдачи: ____________


Оценка: _____________


Тюмень, 2009


Оглавление




Введение. 3


Описание Федеральных Законов. 4


Описание ГОСТов. 8


Описание Указов Президента. 22


Описание Постановлений Правительства. 27


Анализ правовых норм. 29


Применение законов на практике. 37


Заключение. 42


Список литературы.. 43






















Введение

Целью работы будет изучение Федеральных законов, постановлений Правительства РФ, Указов Президента РФ, ГОСТов, связанных с информационной безопасностью.


Для достижения цели были поставлены такие задачи, как:


• Ознакомление и частичный анализ Федеральных законов;


• Ознакомление и частичный анализ постановлений Правительства РФ;


• Ознакомление и частичный анализ Указов Президента РФ;


• Ознакомление и частичный анализ ГОСТов;


Результатом анализа будет выявление возможных неточностей не только в законах, но и во взаимосвязи между ними. Также будут рассмотрены прецеденты, связанные с нарушением законодательства РФ.


Описание Федеральных Законов

Отечественное законодательство предусматривает уголовную ответственность за компьютерные преступления в главе 28 Уголовного кодекса, состоящей из трех статей:


· Статья 272. Неправомерный доступ к компьютерной информации (Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети);


· Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ (Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами);


· Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред).


Не претендуя на исчерпывающий список противоправных деяний, которые могут быть совершены с использованием компьютера и/или сети, ниже представлен перечень статей УК РФ под действие которых они могут попадать:


· Статья 129. Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию).


· Статья 130. Оскорбление (унижение чести и достоинства другого лица, выраженное в неприличной форме).


· Статья 137. Нарушение неприкосновенности частной жизни (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан).


· Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.


· Статья 146. Нарушение авторских и смежных прав (незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства, если эти деяния причинили крупный ущерб).


· Статья 147. Нарушение изобретательских и патентных прав (незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб).


· Статья 158. Кража (тайное хищение чужого имущества).


· Статья 159. Мошенничество (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием).


· Статья 163. Вымогательство (требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких).


· Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием.


· Статья 167. Умышленные уничтожение или повреждение имущества (если эти деяния повлекли причинение значительного ущерба).


· Статья 168. Уничтожение или повреждение имущества по неосторожности (в крупном размере).


· Статья 171. Незаконное предпринимательство (осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением условий лицензирования, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере).


· Статья 182. Заведомо ложная реклама (использование в рекламе заведомо ложной информации относительно товаров, работ или услуг, а также их изготовителей (исполнителей, продавцов), совершенное из корыстной заинтересованности и причинившее значительный ущерб).


· Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну (собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений).


· Статья 200. Обман потребителей (обмеривание, обвешивание, обсчет, введение в заблуждение относительно потребительских свойств или качества товара (услуги) или иной обман потребителей в организациях, осуществляющих реализацию товаров или оказывающих услуги населению, а равно гражданами, зарегистрированными в качестве индивидуальных предпринимателей в сфере торговли (услуг), если эти деяния совершены в значительном размере).


· Статья 242. Незаконное распространение порнографических материалов или предметов (незаконные изготовление в целях распространения или рекламирования, распространение, рекламирование порнографических материалов или предметов, а равно незаконная торговля печатными изданиями, кино- или видеоматериалами, изображениями или иными предметами порнографического характера).


· Статья 276. Шпионаж (передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства).


· Статья 280. Публичные призывы к осуществлению экстремистской деятельности.


· Статья 282. Возбуждение национальной, расовой или религиозной вражды (действия, направленные на возбуждение национальной, расовой или религиозной вражды, унижение национального достоинства, а равно пропаганда исключительности, превосходства либо неполноценности граждан по признаку их отношения к религии, национальной или расовой принадлежности, если эти деяния совершены публично или с использованием средств массовой информации).


· Статья 283. Разглашение государственной тайны (разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены).


· Статья 354. Публичные призывы к развязыванию агрессивной войны.


Разумеется, этот перечень нельзя считать исчерпывающим. В тоже время, рассмотрение различных направлений преступной деятельности в сфере высоких технологий, показывает сильное отставание и несовершенство современного законодательства. Несмотря на это, компьютерные преступники регулярно привлекаются к уголовной ответственности.


Описание ГОСТов

Далее приведены ГОСТы которые связаны с информационным пространством и его защитой. В описании ГОСТа дается область применения, назначения и краткая характеристика.


1) ГОСТ 34.003-90 (2001г)Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения (Information technology. Set of standards for automated systems. Automated systems.Terms and definitions)


· Ссылки на: ГОСТ 15971-84, ГОСТ 16504-81.


· Назначение: Настоящий стандарт устанавливает термины и определения основных понятий в области автоматизированных систем (АС) и распространяется на АС, используемые в различных сферах деятельности (управление, исследования, проектирование и т.п., включая их сочетание), содержанием которых является переработка информации.


· Основные определения:


1. Автоматизированная система - Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.


2. Интегрированная автоматизированная система; ИАС: Совокупность двух или более взаимоувязанных АС, в которой функционирование одной из них зависит от результатов функционирования другой (других) так, что эту совокупность можно рассматривать как единую АС.


3. Задача автоматизированной системы; задача АС: Функция или часть функции АС, представляющая собой формализованную совокупность автоматических действий, выполнение которых приводит к результату заданного вида.


4. Техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.


5. Информационное обеспечение автоматизированной системы; информационное обеспечение АС: Совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в АС при ее функционировании.


6. правовое обеспечение автоматизированной системы; правовое обеспечение АС: Совокупность правовых норм, регламентирующих правовые отношения при функционировании АС и юридический статус результатов ее функционирования.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР.


2) ГОСТ 34.201-89(1990г) ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. Комплекс стандартов на автоматизированные системы. ВИДЫ, КОМПЛЕКТНОСТЬ И ОБОЗНАЧЕНИЕ ДОКУМЕНТОВ ПРИ СОЗДАНИИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ (Information technology. Set of standards for automated systems. Types, sets and indication of documents for automated systems design).


· Ссылки на: ГОСТ 24.601, ГОСТ 34.602, ГОСТ 2.102, ГОСТ 19.101, ГОСТ 2.113


· Назначение: Настоящий стандарт распространяется на автоматизированные системы (АС), используемые в различных сферах деятельности (управление, исследование, проектирование и т. п.), включая их сочетание, и устанавливает виды, наименование, комплектность и обозначение документов, разрабатываемых на стадиях создания АС, установленных ГОСТ 24.601.


· Основные термины:


1. Документация на автоматизированную систему
- комплекс взаимоувязанных документов, в котором полностью описаны все решения по созданию и функционированию системы, а также документов, подтверждающих соответствие системы требованиям технического задания и готовность ее к эксплуатации (функционированию).


2. Проектно-сметная документация на АС
- часть документации на АС, разрабатываемая для выполнения строительных и монтажных работ, связанных с созданием АС.


3. Рабочая документация на АС
- часть документации на АС, необходимой для изготовления, строительства, монтажа и наладки автоматизированной системы в целом, а также входящих в систему программно-технических, программно-методических комплексов и компонентов технического, программного и информационного обеспечения.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР.


3) ГОСТ 34.601-90 (1992г) Комплекс стандартов на автоматизированные системы. АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ СТАДИИ СОЗДАНИЯ. (Information technology. Set of standards for automated systems. Stages of development).


· Назначение: Настоящий стандарт распространяется на автоматизированные системы (АС), используемые в различных видах деятельности (исследование, проектирование, управление и т.п.), включая их сочетания, создаваемые в организациях, объединениях и на предприятиях (далее - организациях). Стандарт устанавливает стадии и этапы создания АС.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР.


4) ГОСТ 34.602-89(1990г) ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. Комплекс стандартов на автоматизированные системы. ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА СОЗДАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ. (Information technology. Set of standards for automated systems. Technical directions for developing of automated system).


· Ссылки на: ГОСТ 19.201, ГОСТ 24.601, ГОСТ 6.10.4, ГОСТ 34.201-89, ГОСТ 2.105, ГОСТ 2.301


· Область применения: Настоящий стандарт распространяется на автоматизированные системы (АС) для автоматизации различных видов деятельности (управление, проектирование, исследование и т. п.), включая их сочетания, и устанавливает состав, содержание, правила оформления документа «Техническое задание на создание (развитие или модернизацию) системы» (далее - ТЗ на АС).


· Назначение: ТЗ на АС является основным документом, определяющим требования и порядок создания (развития или модернизации - далее создания) автоматизированной системы, в соответствии с которым проводится разработка АС и ее приемка при вводе в действие.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР.


5) ГОСТ Р 50739-95(2001г) СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ОБЩИЕ ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ. (Computers
t
echni
que. Information
protection
against unauthorized access
t
o information.
General t
echnical require
me
nts).


· Группы требований: Требования к разграничени
ю доступа, требования к учету
, тр
ебования к гаранти
ям.


· Область применения: Настоящи
й стандарт устанавливает единые функциональные требования к защи
те средств вычислите
льной техники
(СВТ)
от несанкционированного доступа (НСД)
к информации;
к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защи­щенности от НСД к информации.


Под СВТ в данном стандарте понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.


Применени
е в
комплекте СВТ средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


6) ГОСТ Р 51275-99 (2001г) Защита информации. ОБЪЕКТ ИНФОРМАТИЗАЦИИ. ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ Общие положения (Protection of information.


Object of tnformatization. Factors influencing the information. General outlines).


· Область применения: Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.


· Назначение: Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.


· Основные определения:


1. Защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;


2. Информационные ресурсы: Отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);


3. Информационная технология: Приемы, способы и методы применения технических и програм­мных средств при выполнении функций обработки информации;


4. Наводки: Токи и напряжения в токопроводящих элементах, вызванные электромагнитным излучением, емкостными и индуктивными связями;


5. Программный вирус: Исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (реплика­ции). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


7) ГОСТ 51583-2000 Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения.


· Область применения: Настоящий стандарт распространяется на автоматизированные системы в защищенном исполнении, используемые в различных видах деятельности (исследование, управление, проектирование и т. п.), включая их сочетания, в процессе создания и применения которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.


· Ссылки на:


ГОСТ 34. 003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.


ГОСТ 34. 201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.


ГОСТ 34. 601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.


ГОСТ 34. 602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы


ГОСТ 16504-81 Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения


ГОСТ 29339-92


ГОСТ Р 50543-93 Конструкции базовые несущие средств вычислительной техники. Требования по обеспечению защиты информации и электромагнитной совместимости методом экранирования.


ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.


ГОСТ Р 50752-95


ГОСТ РВ 50797-95


ГОСТ Р 50922-96 Защита информации. Основные термины и определения.


ГОСТ Р 50972-96 Защита информации. Радиомикрофоны. Технические требования к защите информации от утечки секретной информации.


ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.


ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию.


· Основные определения:


1. Служебная тайна
- защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.


2. Защита информации
- деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.


3. Несанкционированное воздействие на информацию
- воздействие на защищаемую информацию с нарушением установленных прав и/или правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.


4. Секретная информация
- информация, содержащая сведения, отнесенные к государственной тайне.


5. Контроль эффективности защиты информации
- проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам эффективности защиты информации.


· Назначение: Описание порядка создания АС, контроль за этим процессом, назначение ответственных людей.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


8) ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов (Unified systems of documentation. Unified system of managerial documentation. Requirements for presentation of documents)


· Область применения: Настоящий стандарт устанавливает: состав реквизитов документов; требования к оформлению реквизитов документов; требования к бланкам документов, включая бланки документов с воспроизведением Государственного герба Российской Федерации.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


9) ГОСТ Р 50739-95 (2001г). Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.


· Область применения: Настоящий стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.


· Общие положения:


1. Требования к защите реализуются в СВТ в виде совокупности программно-технических средств защиты. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).


2. В связи с тем, что показатели защищенности СВТ описываются требованиями, варьируемыми по уровню и глубине в зависимости от класса защищенности СВТ, в настоящем стандарте для любого показателя приводится набор требований, соответствующий высшему классу защищенности от НСД.


3. Стандарт следует использовать при разработке технических заданий, при формулировании и проверке требований к защите информации.


· Требования к разграничению доступа:


1. дискретизационный принцип контроля доступа


2. мандатный принцип контроля доступа


3. идентификация и аутентификация


4. очистка памяти


5. изоляция модулей


6. защита ввода и вывода на отчуждаемый физический носитель информации


7. сопоставление пользователя с устройством


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


10) ГОСТ Р 50922-96 ЗАЩИТА ИНФОРМАЦИИ. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. (Protection of information. Basic terms and definitions)


· Область применения: Настоящий стандарт устанавливает основные термины и определения понятий в области защиты информации.


Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.


· Основные определения:


1. защищаемая информация:
Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.


2. защита информации;
ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию


3. защита информации от разглашения:
Деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации


4. организация защиты информации:
Содержание и порядок действий, направленных на обеспечение защиты информации


5. мероприятие по защите информации:
Совокупность действий, направленных на разработку и (или) практическое применение способов и средств защиты информации


6. средство защиты информации:
Техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации


· Схема: Классификационная схема понятий предметной области «Защита информации».


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


11) ГОСТ Р 51241-98 СРЕДСТВА И СИСТЕМЫ КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ. КЛАССИФИКАЦИЯ. ОБЩИЕ ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ. МЕТОДЫ ИСПЫТАНИЙ. (Access control systems and units. Classification. General technical requirements. Methods of tests).


· Область применения: Настоящий стандарт распространяется на технические системы и средства контроля и управления доступом, предназначенные для контроля и санкционирования доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.


Стандарт устанавливает классификацию, общие технические требования и методы испытаний средств и систем контроля и управления доступом.


· Ссылки на:


ГОСТ Р 8.568-97, ГОСТ 12.1.004-91, ГОСТ 12.1.006-84, ГОСТ 12.1.010-76, ГОСТ 12.1.019-79, ГОСТ 12.2.003-91, ГОСТ 12.2.006-87 (МЭК 65-85) , ГОСТ 12.2.007.0-75, ГОСТ 20.57.406-81, ГОСТ 27.002-89, ГОСТ 27.003-90, ГОСТ 12997-84, ГОСТ 14254-96 (МЭК 529-86), ГОСТ 15150-69, ГОСТ 16962-71, ГОСТ 16962.1-89 , ГОСТ 16962.2-90, ГОСТ 17516-72, ГОСТ 17516.1-90, ГОСТ 21552-84, ГОСТ 23511-79, ГОСТ 23773-88, ГОСТ 24686-81, ГОСТ 26139-84, ГОСТ 27570.0-87 (МЭК 335-1-76), ГОСТ 28195-89, ГОСТ 29156-91 (МЭК 801-4-88), ГОСТ 29191-91 (МЭК 801-2-91) , ГОСТ 30109-94, ГОСТ Р 50007-92, ГОСТ Р 50008-92, ГОСТ Р 50009-92, ГОСТ Р 50627-93, ГОСТ Р 50739-95, ГОСТ Р 50775-95 (МЭК 839-1-1-88), ГОСТ Р 50776-95 (МЭК 839-1-4-89), ГОСТ Р 50862-96, ГОСТ Р 50941-96, ГОСТ Р 51072-97, ГОСТ Р 51112-97.


· Основные определения:


1. Доступ - перемещение людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.


2. Несанкционированный доступ - доступ людей или объектов, не имеющих права доступа.


3. Контроль и управление доступом (КУД) - комплекс мероприятий, направленных на ограничение и санкционирование доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.


4. Вещественный код - код, записанный на физическом носителе (идентификаторе).


5. Считыватель - устройство в составе УВИП, предназначенное для считывания (ввода) идентификационных признаков.


6. Уровень доступа - совокупность временных интервалов доступа (окон времени) и точек доступа, которые назначаются определенному лицу или группе лиц, имеющим доступ в заданные точки доступа в заданные временные интервалы.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


12) ГОСТ Р 52069.0-2003. Защита информации. Система стандартов. Основные положения. (Safety of information. System of standards. Basic principles).


· Область применения: Настоящий стандарт устанавливает цель и задачи системы стандартов по защите информации
, объекты стандартизации
, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения.


Положения настоящего стандарта являются рекомендуемыми при разработке нормативных документов по стандартизации в области защиты информации, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации - разработчика стандарта, а также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации.


· Ссылки на:


ГОСТ 1.0-92 Межгосударственная система стандартизации. Основные положения


ГОСТ 1.5-2001 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению


ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения


ГОСТ 30335-95/ГОСТ Р 50646-94 Услуги населению. Термины и определения


ГОСТ Р 1.0-92 Государственная система стандартизации Российской Федерации. Основные положения


ГОСТ Р 1.2-92 Государственная система стандартизации Российской Федерации. Порядок разработки государственных стандартов


ГОСТ Р 1.4-93 Государственная система стандартизации Российской Федерации. Стандарты отраслей, стандарты предприятий, стандарты научно-технических, инженерных обществ и других общественных объединений. Общие положения


ГОСТ Р 1.5-2002 Государственная система стандартизации Российской Федерации. Стандарты. Общие требования к построению, изложению, оформлению, содержанию и обозначению


ГОСТ Р 1.12-99 Государственная система стандартизации Российской Федерации. Стандартизация и смежные виды деятельности. Термины и определения


ГОСТ Р ИСО 9000-2001 Система менеджмента качества. Основные положения и словарь


ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель


ГОСТ Р 50922-96 Защита информации. Основные термины и определения


ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения


ОК 002-93 Общероссийский классификатор услуг населению


ОК 003-99 Общероссийский классификатор информации по социальной защите населения


ОК 004-93 Общероссийский классификатор видов экономической деятельности, продукции и услуг


ОК 005-93 Общероссийский классификатор продукции


ОК 011-93 Общероссийский классификатор управленческой документации


· Назначение: Целью системы стандартов по защите информации является упорядочение процесса создания взаимоувязанной совокупности нормативный документ по защите информации. Обеспечение единства организационных и методических подходов к организации и обеспечению работ в области защиты информации.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


13) ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ. БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ. Часть 1.


· Область применения: Целью настоящего стандарта, распространяющегося на эталонную модель взаимосвязи открытых систем (ВОС), является создание основы для скоординированной разработки стандартов в указанной области. Допускается также использование существующих стандартов ВОС и определяется их будущее местоположение в рамках эталонной модели.


· Основные определения:


1. Реальная система — компьютер или совокупность нескольких компьютеров, соответствующего программного обеспечения, периферийного оборудования, терминалов, персонала операторов, физических процессов, средств передачи информации и т. д., которая образует полностью автономную систему, способную обрабатывать и (или) передавать информацию.


2. Открытая система — представление в рамках эталонной модели тех аспектов реальной открытой системы, которые относятся к ВОС.


3. Прикладной процесс — элемент реальной открытой системы, который выполняет обработку информации для некоторого конкретного применения.


4. Тип прикладного процесса — описание класса прикладных процессов в понятиях набора функциональных возможностей, связанных с обработкой информации.


5. Привлечение прикладного процесса—конкретное использование некоторой части или всех возможностей данного прикладного процесса при обеспечении конкретного сеанса обработки информации.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


14) ГОСТ Р ИСО 7498-2-99 Информационная технология. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ. БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ. Часть 2


· Область применения: Содержит общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью. определяет те позиции в рамках эталонной модели, в которых могут обеспечиваться эти услуги и механизмы. Настоящий стандарт расширяет область применения ГОСТ Р ИСО/МЭК 7498-1, охватывая вопросы защиты обмена данными между открытыми системами.


· Ссылки на:


ГОСТ Р ИСО/МЭК 7498-1—99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть. 1. Базовая модель


ГОСТ Р ИСО/МЭК 7498-4—99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Основы административного управления


ГОСТ Р ИСО 8648—98 Информационная технология. Взаимосвязь открытых систем. Внутренняя организация сетевого уровня.


· Основные определения:


1. Криптография — дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаруживаемой модификации и/или их несанкционированного использования.


2. Дешифрование — процесс, обратный соответствующему обратимому процессу шифрования.


3. Целостность данных — способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа.


4. Нотаризация — регистрация данных доверенным третьим лицом, которое обеспечивает последующее подтверждение правильности их характеристик, таких как содержимое, отправитель, время и получатель.


5. Анализ процедур защиты — независимый просмотр и анализ системных записей и актив-ностей с целью проверки их адекватности системным управляющим функциям для обеспечения соответствия с принятой стратегией защиты и операционными процедурами, обнаружения пробелов в защите и выдачи рекомендаций по любым указанным изменениям в управлении, стратегии и процедурах.


6. Угроза — потенциальная возможность нарушения защиты.


· Принадлежность: ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ.


Описание Указов Президента



Указ Президента Российской Федерации от 12 мая 2004 г. N 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена"


Субъектам международного информационного обмена в Российской Федерации предписано не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей "Интернет".


Владельцы открытых и общедоступных государственных информационных ресурсов могут осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации. Кроме того, владельцы и пользователи указанных ресурсов обязаны осуществлять размещение технических средств, подключаемых к открытым информационным системам, сетям и сетям связи, используемым при международном информационном обмене, включая сеть "Интернет", вне помещений, предназначенных для ведения закрытых переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну.


Признается утратившим силу Указ Президента Российской Федерации от 6 октября 1998 г. N 1189 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена".


Указ Президента Российской Федерации от 16 августа 2004 г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"


Определено, что Федеральная служба по техническому и экспортному контролю, ее территориальные органы и подведомственные ей организации являются правопреемниками Государственной технической комиссии при Президенте Российской Федерации, ее территориальных органов и подведомственных ей организаций. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности; уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля; органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну. Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Минобороны России. Указ вступает в силу со дня его подписания.


Указ Президента РФ от 6 марта 1997 г. N 188


"Об утверждении перечня сведений конфиденциального характера"


(с изменениями от 23 сентября 2005 г.)



1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.


2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.



3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).



4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).



5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).



6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.


Указ Президента РФ от 10 января 2000 г. N 24 "О Концепции национальной безопасности Российской Федерации" (извлечения)


Концепц

ия национальной безопасности Российской Федерации (далее именуется - Концепция) - система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие направления государственной политики Российской Федерации <...>.


II. Национальные интересы России


Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах. <...>


Интересы личности состоят в реализации конституционных прав и свобод, в обеспечении личной безопасности, в повышении качества и уровня жизни, в <...> духовном <...> развитии человека и гражданина.


Интересы общества состоят в <...>в духовном обновлении России. <...>


Во внутриполитической сфере национальные интересы России состоят в <...> нейтрализации причин и условий, способствующих возникновению политического и религиозного экстремизма, этносепаратизма и их последствий - социальных, межэтнических и религиозных конфликтов, терроризма. <...>


Национальные интересы в духовной сфере состоят в сохранении и укреплении нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. <...>


Национальные интересы России в международной сфере заключаются <...> в повсеместном соблюдении прав и свобод человека и недопустимости применения при этом двойных стандартов.


Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею <...>


III. Угрозы национальной безопасности Российской Федерации


<...> Этноэгоизм, этноцентризм и шовинизм, проявляющиеся в деятельности ряда общественных объединений, а также неконтролируемая миграция способствуют усилению национализма, политического и религиозного экстремизма, этносепаратизма и создают условия для возникновения конфликтов. <...>


Усиливаются угрозы национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира <...>


Активизируется деятельность на территории Российской Федерации иностранных специальных служб и используемых ими организаций. <...>


Основными задачами в области обеспечения национальной безопасности Российской Федерации являются:


- своевременное прогнозирование и выявление внешних и внутренних угроз национальной безопасности Российской Федерации;


- реализация оперативных и долгосрочных мер по предупреждению и нейтрализации внутренних и внешних угроз <...>;


- обеспечение на территории России личной безопасности человека и гражданина, его конституционных прав и свобод <...>;


- обеспечение неукоснительного соблюдения законодательства Российской Федерации всеми гражданами, должностными лицами, государственными органами, политическими партиями, общественными и религиозными организациями <...>;


- принятие эффективных мер по выявлению, предупреждению и пресечению разведывательной и подрывной деятельности иностранных государств, направленной против Российской Федерации <...>;


Основными направлениями защиты конституционного строя в России являются <...>:


- совершенствование механизма, препятствующего созданию политических партий и общественных объединений, преследующих сепаратистские и антиконституционные цели, и пресечение их деятельности.


<...> Приоритетное значение имеет формирование системы мер действенной социальной профилактики и воспитания законопослушных граждан. Эти меры должны быть направлены на защиту прав и свобод, нравственности, здоровья и собственности каждого человека независимо от расы, национальности, языка, происхождения, имущественного и должностного положения, места жительства, отношения к религии, убеждений, принадлежности к общественным объединениям, а также от других обстоятельств. <...>


Обеспечение национальной безопасности Российской Федерации включает в себя также защиту культурного, духовно - нравственного наследия, исторических традиций и норм общественной жизни, сохранение культурного достояния всех народов России, формирование государственной политики в области духовного и нравственного воспитания населения, введение запрета на использование эфирного времени в электронных средствах массовой информации для проката программ, пропагандирующих насилие, эксплуатирующих низменные проявления, а также включает в себя противодействие негативному влиянию иностранных религиозных организаций и миссионеров. <...>


<...> Широкое участие <...> общественных объединений в реализации Концепции национальной безопасности Российской Федерации - залог динамичного развития России в XXI веке.


Описание Постановлений Правительства


Приведем несколько кратких описаний постановлений Правительства РФ. Для более четкого представления ситуции.


Постановление Правительства Российской Федерации от 15 августа 2006 г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"


Утверждено новое Положение о лицензировании деятельности по технической защите конфиденциальной информации. Под технической защитой конфиденциальной информации понимается комплекс услуг, оказываемых юридическими лицами и индивидуальными предпринимателями, по защите указанной информации от несанкционированного доступа, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.


В соответствии с новым Положением расширен перечень предъявляемых к соискателям лицензий требований и документов, представляемых для получения лицензии. Определен перечень грубых нарушений лицензионных требований. С 60 до 45 дней сокращен срок принятия решения о выдаче либо отказе в выдаче лицензии. Лицензирующим органом, как и ранее, является Федеральная служба по техническому и экспортному контролю. Срок действия выданной лицензии остался прежним - 5 лет.


Ранее действовавший порядок лицензирования деятельности по технической защите конфиденциальной информации, утвержденный постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290, признан утратившим силу. Лицензии на осуществление деятельности по технической защите конфиденциальной информации, предоставленные до принятия данного постановления, действительны до окончания указанного в них срока.


ПОСТАНОВЛЕНИЕ Правительства РФ от 31.08.2006 N 532


«О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ (ИЛИ) ПРОИЗВОДСТВУ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ»


Утверждено Положение, согласно которому лицензирующими органами в сфере разработки и (или) производства средств защиты конфиденциальной информации являются Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ) и Федеральная служба безопасности (ФСБ РФ). Определены лицензионные требования и условия осуществления указанной деятельности, перечень представляемых соискателем лицензии документов, срок действия лицензии.


Установлено, что ранее выданные лицензии на осуществление разработки и (или) производства средств защиты конфиденциальной информации действительны до окончания указанного в них срока.


Признано утратившим силу Постановление Правительства РФ от 27.05.2002 N 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» с внесенными в него изменениями.


ПОСТАНОВЛЕНИЕ Правительства РФ от 26.01.2006 N 45 "ОБ ОРГАНИЗАЦИИ ЛИЦЕНЗИРОВАНИЯ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ"


В соответствии с Федеральным законом от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" утверждены: - перечень федеральных органов исполнительной власти, осуществляющих лицензирование; - перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности.


Установлено, что деятельность, лицензия на осуществление которой предоставлена лицензирующим органом одного субъекта Российской Федерации, может осуществляться на территориях других субъектов Российской Федерации при условии предварительного уведомления в письменной форме лицензиатом лицензирующих органов этих субъектов Российской Федерации о намерении осуществлять лицензируемый вид деятельности на их территориях.


Признано утратившим силу Постановление Правительства РФ от 11.02.2002 N 135 "О лицензировании отдельных видов деятельности".


Анализ правовых норм


Вопросы формирования и использования информационных ресурсов, доступа к информации и ее защиты затрагиваются непосредственно в Конституции Российской Федерации, а также таких актах, как законы Российской Федерации: от 27 декабря 1991 г. № 2124-I "О средствах массовой информации", от 05.03.1992 г. № 2446-I "О безопасности" от 9 июля 1993 г. № 5351-I "Об авторском праве и смежных правах", от 23 сентября 1992 г. № 3523-I "О правовой охране программ для ЭВМ и баз данных", от 23 сентября 1992 г. № 3526-I "О правовой охране топологий интегральных микросхем", от 21 июля 1993 г. № 5485-I "О государственной тайне", Патентный закон Российской Федерации от 23 сентября 1992 г. № 3517-I, Основы законодательства Российской Федерации об архивном фонде Российской Федерации и архивах от 7 июля 1993 г. № 5341-I и федеральные законы: от 13 января 1995 г. № 7-ФЗ "О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации", от 20 февраля 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации", от 4 июля 1996 г. № 85-ФЗ "Об участии в международном информационном обмене", от 29 декабря 1994 г. № 77-ФЗ "Об обязательном экземпляре документов", от 10 января 2002 года № 1-ФЗ "Об электронной цифровой подписи" и многих других.


Необходимо правильно оценивать роль и значение в развитии информационного законодательства Конституции Российской Федерации, в соответствии со статьей 29 которой каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом и принятого в 1995 году базового Федерального закона "Об информации, информатизации и защите информации", в котором нашло отражение регулирование правоотношений, возникающих при формировании и использовании информационных ресурсов, защите информации, защите прав субъектов, участвующих в информационных процессах и информатизации.


Кроме того, необходимо отметить значение гражданско-правовых норм в развитии информационного законодательства. В статье 128 Гражданского кодекса Российской Федерации информация названа в качестве объекта гражданских прав. В части первой Гражданского кодекса Российской Федерации установлены такие правовые режимы информации как служебная и коммерческая тайна (статья 139), а также личная и семейная тайна (статья 150).


В соответствии со статьей 139 Гражданского кодекса Российской Федерации информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Однако в нормативных правовых актах отсутствует определение понятия "конфиденциальность", а в соответствии со статьей 2 Федерального закона "Об информации, информатизации и защите информации" к конфиденциальной может относиться только документированная информация, то есть зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.


Нельзя также забывать, что в законодательстве упоминается значительное количество различных видов тайн (около 40). В их числе налоговая тайна, банковская тайна, тайна связи, профессиональная тайна и другие, а также конфиденциальная информация, коммерческая информация и служебная информация.


Отдельные нормы, посвященные соблюдению конфиденциальности информации и защите различных видов тайн, содержатся также в иных нормативных правовых актах (статьи 28, 55 Федерального закона от 29.11.01 № 156-ФЗ "Об инвестиционных фондах", статьи 7, 9, 10 Федерального закона от 07.08.01 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем", статьи 15, 17 Федерального закона от 18.07.99 № 176-ФЗ "Об экспортном контроле" и другие).


Указом Президента Российской Федерации от 6 марта 1997 года № 188 утвержден Перечень сведений конфиденциального характера, в соответствии с которым к сведениям конфиденциального характера относятся:


1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.


2. Сведения, составляющие тайну следствия и судопроизводства.


3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).


4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).


5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).


6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.


На основании статьи 139 Гражданского кодекса Российской Федерации, все перечисленные сведения можно отнести как к служебной, так и к коммерческой тайне, на основании статьи 2 Федерального закона "Об информации, информатизации и защите информации" - к конфиденциальной информации (к последней - при условии, что они являются документированными). Очевидно, что этот основополагающий закон нуждается в совершенствовании.


Эффективность применения данного федерального закона снижается также из-за того, что он предполагает регламентацию важнейших информационных отношений будущим законодательством, содержит 35 отсылочных предписаний, предусматривающих разработку законов Российской Федерации, актов Правительства Российской Федерации, ведомственных актов. Вид правовых актов, которые должны быть приняты, в данном Федеральном законе не определен. Чаще всего закрепляется отсылочная норма, предполагающая урегулирование информационных отношений в законодательстве Российской Федерации. В то же время не уточнено, какой законодательный акт - Российской Федерации или ее субъекта - должен быть принят.


Проект федерального закона "О внесении изменений и дополнений в Федеральный закон "Об информации, информатизации и защите информации" в настоящее время находится на рассмотрении в Государственной Думе. Данный проект федерального закона исключает из текста Федерального закона "Об информации, информатизации и защите информации" определения терминов собственника и владельца информационных ресурсов, информационных систем и технологий с целью приведения его в соответствие с Гражданским кодексом Российской Федерации. Проект также содержит нормы, исключающие из текста указанного Федерального закона ряд положений, вступающих в противоречие с Федеральным законом от 08.08.01 № 128-ФЗ "О лицензировании отдельных видов деятельности".


Однако в рамках существующего проекта не решены проблема регулирования вопросов, связанных с информацией ограниченного доступа, в частности, конфиденциальной информацией, в связи с чем представляется необходимой разработка соответствующего законопроекта.


Особое внимание необходимо уделить разработке следующих законопроектов, регулирующих отношения в сфере защиты информации.


Несомненно, что сегодня крайне необходим федеральный закон "О персональных данных" или "Об информации персонального характера". Существующий проект, разработанный депутатами - членами Комитета Государственной Думы по информационной политике, обсуждается и должен совершенствоваться, поскольку именно в нем должны быть определены принципиальные положения, касающиеся условий законности формирования банков персональных данных и работы с ними.


В целом законопроект может сыграть существенную роль в регламентировании доступа к персональных данным и их использования. Однако необходима четкая координация проекта с действующим законодательством и иными законопроектами, регламентирующими отношения в указанной сфере.


10 июня 2001 года Президентом Российской Федерации издано распоряжение № 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных". Ратификация указанной Конвенции также повлечет необходимость совершенствования национального законодательства и, в частности, принятия закона о персональных данных.


Кроме того, выполнение положений Конвенции потребует принятия ряда нормативных правовых актов, регламентирующих вопросы доступа к информации, защиты конфиденциальной информации и неприкосновенности частной жизни, а также приведения в соответствие с данной Конвенцией отдельных положений проектов федеральных законов, касающихся работы с банками персональных данных (проекты федеральных законов "О праве на информацию", "О государственном регистре населения Российской Федерации", "О государственной автоматизированной системе Российской Федерации "Выборы").


Система нормативно-правового обеспечения в информационной сфере должна строиться на основе соблюдения конституционных норм о неприкосновенности частной жизни и конфиденциальности корреспонденции, поскольку права и свободы человека и гражданина имеют высший приоритет.


В целях реализации положений Конституции Российской Федерации, установления ограничений и запретов при реализации прав в информационной сфере, определения механизмов доступа к открытой информации необходимо принятие федерального закона "О доступе к информации", поскольку проблема правового регулирования отношений в области формирования и использования информационных ресурсов не может быть реализована без законодательного урегулирования права на информацию.


Как показывает опыт законодательной работы в этой сфере, развитие законодательства в данной области, несомненно, потребует внесения изменений в Гражданский и Уголовный кодексы Российской Федерации, а также в ряд других основополагающих федеральных законов.


В рамках обсуждаемой проблемы нельзя не сказать о важности принятого 10 января 2002 года Федерального закона № 1-ФЗ "Об электронной цифровой подписи". Длительность его разработки, сложности согласования положений и острые дискуссии, появление ряда альтернативных проектов, несомненно, свидетельствуют о его роли в информационной сфере и объясняются важностью этого вопроса как для специалистов в области криптографии, связи, юристов, так и для всех пользователей.


Участие Минюста России в юридической экспертизе и разработке законопроектов, регулирующих правоотношения в информационной сфере, в частности, таких, как проекты федеральных законов "О государственном регистре населения Российской Федерации", "О государственной автоматизированной системе "Выборы", и других, где особенно важно определить, каким образом будет подтверждаться подлинность и достоверность полученных электронных документов, позволяло сделать вывод об отсутствии у ряда заинтересованных ведомств согласованных позиций.


Обеспечение доверия к электронной подписи и ее правовое признание является обязательным элементом заключения договоров в электронной торговле, передачи права собственности и обязательственных прав, а также совершение иных юридически значимых действий посредством электронной связи.


Данный Федеральный закон устанавливает правовую основу для использования электронной цифровой подписи, определяет полномочия органов, удостоверяющих открытые ключи электронной цифровой подписи, а также права, обязанности и ответственность физических и юридических лиц, участвующих в деятельности, связанной с применением электронной цифровой подписи.


Правовое урегулирование применения электронной цифровой подписи необходимо и для дальнейшей работы над целым рядом законопроектов. Так, остаются неурегулированными вопросы участия России в мировой системе электронной торговли или, что вероятно правильнее, электронной коммерции, поскольку не вполне корректным является отождествление слова "торговля" с такими, например, сделками, как банковский счет, доверительное управление имуществом, простое товарищество, публичное обещание награды, публичный конкурс. В настоящее время существуют проекты федеральных законов "Об электронной торговле" и "Об электронных сделках". Проект федерального закона "Об электронной торговле" был принят Государственной Думой Российской Федерации в первом чтении 6 июня 2001 года и в настоящее время ведется его доработка.


Нельзя не оставить без внимания тот факт, что правовое регулирование использования электронной цифровой подписи необходимо и для разработки законопроекта "Об электронном документе", которая была поручена Правительством Российской Федерации ряду министерств и ведомств. Данный закон необходим для обеспечения правовой основы использования электронной формы документов в гражданском обороте и в сфере государственного управления, однако указанный законопроект находится в стадии разработки.


Следует отметить, что правовые условия использования электронного документа в значительной мере уже определены действующими федеральными законами ("Об информации, информатизации и защите информации", "Об электронной цифровой подписи", Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях) или включены в подготавливаемые законопроекты ("Об электронной торговле", "О бухгалтерском учете", Арбитражный процессуальный кодекс Российской Федерации), в связи с чем высказывается и такая точка зрения, что дальнейшее развитие законодательства в данной сфере должно осуществляться путем внесения в действующие законодательные изменений и дополнений, конкретизирующих использование электронных документов в различных сферах деятельности.


Правовое регулирование в области информационной безопасности занимает особое место в рамках рассматриваемой проблемы развития законодательства в информационной сфере. Это подчеркнуто и в Окинавской Хартии Глобального информационного общества, где задача формирования нормативной базы в этой области определена как одна из приоритетных.


Определены также соответствующие задачи в утвержденной Президентом Российской Федерации 9 сентября 2000 г. Доктрине информационной безопасности Российской Федерации, где под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющееся совокупностью сбалансированных интересов личности, общества и государства и указано на необходимость разработки проекта Концепции правового обеспечения в области информационной безопасности.


Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности одобрены "Основные направления нормативного правового обеспечения информационной безопасности Российской Федерации" (Решение № 5.4 от 27.11.01). Указанным документом определяются цели и принципы нормативного правового обеспечения информационной безопасности Российской Федерации, направления государственной политики в области противодействия угрозам информационной безопасности и задачи их нормативного правового обеспечения, а также первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности Российской Федерации.


В целях развития положений Доктрины информационной безопасности и обеспечения единства правового пространства Российской Федерации требуется определение основ федеральной политики в области обеспечения информационной безопасности субъектов Российской Федерации. Это важный аспект информационной безопасности, который также получил отражение в "Основных направлениях нормативного правового обеспечения информационной безопасности Российской Федерации". Для Минюста России и его территориальных органов в субъектах Российской Федерации это особенно важно в связи с возложением Указом Президента Российской Федерации от 10 августа 2000 № 1486 функций по созданию и ведению федерального банка нормативных правовых актов субъектов Российской Федерации - федерального регистра. Необходим серьезный анализ регионального законодательства в информационной сфере, требует проработки на основании Послания Президента Российской Федерации Федеральному Собранию Российской Федерации "России надо быть сильной и конкурентоспособной" и вопрос о государственном учете актов органов местного самоуправления.


К числу первоочередных мер по совершенствованию нормативного правового обеспечения информационной безопасности относится разработка следующих законопроектов: "О персональных данных"; "О праве на информацию"; "О коммерческой тайне"; "О неприкосновенности частной жизни, о личной и семейной тайне"; "О защите нравственности"; "О служебной тайне"; "О национальной безопасности".


Безусловно, требуется разработка законопроектов о внесении изменений и дополнений в следующие законы Российской Федерации и федеральные законы:


"О средствах массовой информации" в части усиления общественного контроля за деятельностью средств массовой информации, предотвращения монополизации рынка массовой информации, а также регулирования распространения массовой информации с использованием глобальных информационных сетей;


"Об авторском праве и смежных правах", для закрепления за государством исключительных прав на результаты интеллектуальной деятельности, созданные за счет государственного бюджета;


"Об информации, информатизации и защите информации" в части развития системы открытых государственных ресурсов и обеспечения доступа к ним, а также в связи с уточнением признаков отнесения информационных и телекоммуникационных систем, сетей связи, информационных ресурсов к федеральным объектам, и закреплением механизма отнесения объектов информационной инфраструктуры к критически важным и обеспечения их информационной безопасности;


"О связи", для предотвращения монополизации инфраструктуры связи;


"Об оперативно-розыскной деятельности" в части усиления контроля за сбором, хранением и использованием информации о частной жизни граждан, сведений, составляющих личную, семейную, служебную и коммерческую тайны;


Уголовный кодекс Российской Федерации, с целью расширения перечня общественно опасных деяний против информационной инфраструктуры, относящихся к преступлениям.


Применение законов на практике


Говоря о судебной практике в рассматриваемой сфере, стоит отметить ее несформированность и, вследствие этого, неоднородность. Приговоры, вынесенные различными судами по однотипным уголовным делам, зачастую расходятся в вопросах квалификации действий преступника и размеров наказания. Вот некоторые примеры.


19 января 1997 года Южно-Сахалинским городским судом впервые в России был вынесен обвинительный приговор по статьям о компьютерных преступлениях. Студент Южно-Сахалинского института экономики, права и информатики Г. за написание программы, подбиравшей пароли к адресам пользователей электронной почты, а также копирование информации из чужих почтовых ящиков получил два года лишения свободы условно и штраф в 200 минимальных размеров оплаты труда.


10 марта 1998 года следственным управлением ГУВД Свердловской области было возбуждено уголовное дело по признакам преступления, предусмотренного ч. I ст. 273 УК РФ по факту распространения вредоносных программ для ЭВМ. Именно так было квалифицировано следствием создание электронной доски объявлений, в одной из областей которой находилась подборка вирусов и «крэков» для программного обеспечения. Среди доказательств распространения вредоносных программ в обвинительном заключении были упомянуты и лог-файлы с данными о том, какой из пользователей доски объявлений получал доступ к подборке вирусов.


6 отделом УРОПД при ГУВД Санкт-Петербурга и области 2 сентября 1998 г. было возбуждено уголовное дело по признакам преступления, предусмотренного ст.273 УК РФ по факту распространения компакт-дисков с программами, предназначенными для снятия защиты с программных продуктов, а также «взломанных» версий программ. «Креки» в данном случае были признаны следствием вредоносными программами (следует заметить, что такая квалификация, хотя и правильна формально, но все-таки вызывает многочисленные споры). Также обвинение было в ходе следствия дополнено статьей 146 УК (Нарушение авторских и смежных прав).


Тагилстроевский районный суд города Нижнего Тагила Свердловской области рассмотрел уголовное дело по обвинению Р. по ст. 159, 183, 272, 273 УК. В октябре-ноябре 1998 года Р., пользуясь своим служебным положением, совершил изменение ведомости начисления заработной платы на предприятии так, что у работников, которым начислялось более ста рублей, списывалось по одному рублю, эти средства поступали на счет, откуда их впоследствии снял Р. Изменения в программе были квалифицированы по статье 273, сбор сведений о счетах лиц, данные о которых были внесены в базу предприятия, - по статье 183, модификация этих данных - по статье 272, а получение начисленных денежных средств - по статье 159 УК. Р. был приговорен к 5 годам лишения свободы условно с лишением права заниматься профессиональной деятельностью программиста и оператора ЭВМ сроком на 2 года.


6 февраля 1999 года было возбуждено уголовное дело по признакам преступления, предусмотренного ст. 272 УК. В ходе предварительного следствия было установлено, что, с целью хищения чужого имущества обвиняемые Ч. и З. вступили в сговор, по которому Ч., работающий в фирме «Самогон», имея доступ к компьютерам фирмы, ввел в базу клиентов фирмы сфальсифицированную запись с реквизитами, назвав которые впоследствии, З. получил со склада фирмы продукцию стоимостью более 70 тысяч рублей. Действия Ч. квалифицированы на предварительном следствии по статье 272 УК. Приговором Вологодского городского суда З. был осужден по статье 159 УК (Мошенничество) к 5 годам, а Ч. по статьям 159 и 272 УК к 6 годам лишения свободы условно.


12 марта 1999 года в Управлении РОПД при ГУВД Ростовской области было возбуждено уголовное дело по признакам ст. 272 УК. В ходе следствия по статье 272 были квалифицировано завладение компьютером и считывание с него информации, признанной следствием коммерческой тайной. Доступ к компьютеру производился в нарушении правил исполнительного производства, в ходе которого одному из обвиняемых ЭВМ была передана на хранение.


Следователем следственной части СУ при МВД Республики Башкортостан 23 июня 1999 г. было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 158 УК по факту несанкционированного доступа к сети Интернет. В ходе следствия обвинение было предъявлено М. и Н., их действия были переквалифицированы по статьям 183 (Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну) и 272 УК. В отличие от рассмотренных ранее дел, связанных с распространением программ, предназначенных для хищения паролей для доступа к сети интернет и пользование в последующем таким доступом за чужой счет, в данном случае статья 273 за это вменена не была. Хищение логинов и паролей для доступа было квалифицировано по статье 183 УК. Статья 165 вменена не была, что представляется упущением следствия.


30 сентября 1999 года следователем следственного отделения РУ ФСБ России по Архангельской области было возбуждено уголовное дело по факту создания и распространения вредоносных программ: распространение «троянцев» было квалифицировано по статье 273 УК, доступ к чужим паролям - по статье 272. Один из обвиняемых по делу получил 2 года лишения свободы условно, второй - 3 года реально, впрочем, он был освобожден из-под стражи в зале суда по амнистии.


8 октября 1999 года было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 272 УК, по факту несанкционированной модификации программы публичного поискового сервера НовГУ. В результате данного изменения на поисковой странице сервера появилась ссылка на страницу, содержащую порнографические изображения. В совершении данного преступления в ходе предварительного следствия обвинялся Ф. Впоследствии он был обвинен также в незаконном распространении и рекламировании порнографических материалов по статье 242 УК (Незаконное распространение порнографических материалов или предметов). По имеющейся информации, по делу был вынесен оправдательный приговор.


Нижегородский районный суд 6 марта 2000 года вынес приговор за аналогичное преступление по статьям 272 и 165 УК в отношении четырех жителей Нижнего Новгорода, действовавших по той же схеме - получавших доступ к Интернету за счет других абонентов. Один из соучастников получил 3 года 1 месяц, трое других - по 2 года 1 месяц лишения свободы условно.


18 апреля 2000 года Шадринским городским судом был осужден к штрафу в 3000 рублей П., по статьям 272 и 165 (Причинение имущественного ущерба путем обмана или злоупотребления доверием) УК РФ. П. совершил весьма распространенное преступление - получал доступ к сети Интернет за чужой счет, пользуясь чужими логином и паролем для доступа к сети. Логин и пароль он получил, прислав программу-«троянца» на компьютер-«жертву». В рассматриваемом примере суд квалифицировал несанкционированный доступ к чужому компьютеру с целью кражи пароля по статье 272, а пользование услугой доступа к Интернет - по статье 165 УК. В данном случае обращает на себя внимание тот факт, что «троянскую» программу П., согласно его же собственным показаниям, послал на компьютер с предназначенной специально для этого страницы на сервере в Интернет, адреса которой он «не помнит». (Можно предположить, что, говоря про такую страницу, П. просто избежал обвинения еще и по статье 273 УК в распространении вредоносных программ).


Сходное по квалификации дело было рассмотрено 9 февраля 2001 года Красногвардейским федеральным судом города Санкт-Петербурга. Программист М. был признан виновным по статье 273 УК в 12 эпизодах распространения вредоносных программ и по статье 165 - в причинении имущественного ущерба путем обмана или злоупотребления доверием. С ноября 1998 по апрель 1999 года он рассылал клиентам пяти петербуржских Интернет-провайдеров троянские программы, и получал логины с паролями, которыми пользовался для доступа к интернет. Суд приговорил его к трем годам лишения свободы и штрафу в размере 300 минимальных размеров оплаты труда. Впрочем, лишаться свободы М. не пришлось - из-за амнистии.


Подводя итог краткому обзору, следует признать, что «компьютерные» статьи УК РФ благополучно «работают» и по ним регулярно привлекаются к ответственности компьютерные мошенники и хулиганы. Последнее время по ст.272 и ст.273 правоохранительными органами фиксируются сотни преступлений ежегодно.


В тоже время, иногда эти статьи используются не совсем по назначению. В следующих примерах речь пойдет о достаточно спорных делах: представляется, что квалифицированы действия обвиняемых по ним были не совсем правильно. В подобного рода делах несформированность практики применения статей УК о компьютерных преступлениях становится особенно заметной.


9 ноября 1998 года УРОПД ГУВД Московской области было возбуждено уголовное дело по факту совершения неправомерного доступа к охраняемой законом компьютерной информации в кассовых аппаратах одного из частных предпринимателей города Павловский Посад. По статье 272 УК в ходе следствия было квалифицировано изменение информации в контрольно-кассовых аппаратах, при которых записанная в них сумма выручки за смену искусственно занижалась. Контрольно-кассовые аппараты были признаны следствием разновидностью электронно-вычислительной машины.


1 сентября 1999 года следственной частью следственного управления при УВД Южного административного округа г. Москвы было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 272 УК, по обвинению П. В ходе следствия обвинение было дополнено статьями 273, 165, 327 (Подделка, изготовление или сбыт поддельных документов, государственных наград, штампов, печатей, бланков), 183. По статье 272 был квалифицировано пользование телефоном-«двойником», позволяющим производить бесплатные звонки за чужой счет. В рассматриваемом примере сотовый телефон был признан следствием разновидностью ЭВМ, а написание программы, с помощью которой обычный телефон превращался в «двойник», - по статье 273. Информация о серийном и абонентском номерах телефона была признана органами следствия коммерческой тайной, что и обусловило появление в обвинении статьи 183.


Особенно часто попытки вменять статьи о компьютерных преступлениях в случаях, когда совершаются совершенно, казалось бы, не относящиеся к компьютерам действия предпринимаются в случаях мошенничества с сотовыми телефонами. Так, органами предварительного следствия (Ленинский РОВД г. Ставрополя) статья 272 была вменена обвиняемому, пользовавшемуся доработанным сотовым телефоном-«сканером», который позволял производить звонки за чужой счет.


Случай не единичный: еще в 1998 году в Воронеже следователем УРОПД Воронежского УВД по сходному делу, но уже за изготовление подобных телефонов, обвиняемым на предварительном следствии также была вменена статья 272 УК РФ.


Как видно, появление в Уголовном Кодексе РФ 1996 года главы 28 (Преступления в сфере компьютерной информации) было очень своевременным. Волна компьютерной преступности уже пошла, а надлежащей правовой базы еще не было. С позиций сегодняшнего дня можно уже спорить о неудачности отдельных формулировок статей этого раздела, об узости охвата, о мягкости наказания и так далее. Тем не менее, правовые механизмы привлечения к ответственности за компьютерные преступления есть и они работают. В тоже время зарубежное законодательство в этой сфере более развито и было бы неплохо перенять лучшее из зарубежного опыта.


Заключение

В результате изучения Федеральных законов, постановлений Правительства РФ, Указов Президента РФ, ГОСТов, связанных с информационной безопасностью, были достигнуты все цели и выявлена актуальность проблемы.


Благодаря проведенному анализу можно прийти к выводу, что необходимо развитие и дальнейшее совершенствование информационного законодательства, разработка новых федеральных законов и иных нормативных правовых актов, а также устранение внутренних противоречий федерального законодательства и нормативных правовых актов субъектов Российской Федерации.


Список литературы

Батурин Ю.М. Компьютерная преступность и компьютерная безопасность. - М., 2001г.


Беляев В.С. Безопасность в распределительных системах. – М., 1999г.


Борзенков Г.Н. Крмиссаров В.С. Уголовное право Российской Федерации. – М.: Олимп, 1998г.


Ведеев Д.В. Защита данных в компьютерных сетях. - М., 1998.


Здравомыслов Б.В. Уголовное право России. Особенная часть. – М.: Юристъ, 1996.


Нормативно-правовые акты


Уголовный Кодекс Российской Федерации


Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года №24-ФЗ // СЗ РФ 1995, №6, стр. 609.


Закон Российской Федерации "Об авторском и смежных правах" от 9 июля 1993 года №5351-1


Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" от 23 сентября 1992 года №3523-1 // Ведомости РФ, 1992, № 42, стр. 2325.


Гражданский Кодекс Российской Федерации, М. Ось, стр. 104-108.


Ведомости РФ, 1992 г, № 42, стр. 2325


http://www.mcx.ru/index.html?he_id=699&doc_id=12773


http://www.aferizm.ru/bb/it/bb_it_aktyalno_infbez.htm

Сохранить в соц. сетях:
Обсуждение:
comments powered by Disqus

Название реферата: работа на тему: анализ нормативно правовых документов безопасности информационного пространства российской федерации

Слов:9605
Символов:84806
Размер:165.64 Кб.