Модуль 1 лекция 1. Основные направления обеспечения безопасности информации и информационных ресурсов
1.1. Основные определения
Направления обеспечения безопасности информации — это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз на государственном уровне, на уровне предприятия или организации, на уровне отдельной личности.
С учетом практики, которая сложилась в настоящее время, выделяют следующие направления защиты информации :
правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, которые обеспечивают защиту информации на правовой основе;
организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, которая исключает или ослабляет нанесение любых убытков исполнителям;
инженерно-техническая защита — это использование различных технических средств, которые препятствуют нанесению убытков.
Кроме того, мероприятия защиты, ориентированные на обеспечение безопасности информации, могут быть охарактеризованные целым рядом параметров, которые отражают, кроме направлений, ориентацию на объекты защиты, характер угроз, способы действий, их распространения, охват и масштабность.
Так, по характеру угроз мероприятия защиты ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа. По способу действия их можно разделить на предупреждение, выявление, прекращение и возобновление убытков или других потерь. По охвату мероприятия защиты могут распространяться на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры. Масштабность мероприятий защиты характеризуется как объктная, групповая или индивидуальная защита.
1.2. Правовая защита
Понятие права определяется как совокупность общеобязательных правил и норм поведения, которые установлены или санкционированы государством, по отношению к определенным сферам жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовая защита информации как ресурса признана на межгосударственном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 6.1).
Рис. 1.1. Правовая защита информации
В
нашем государстве такими правилами
(актами, нормами) является Конституция
Украины, законы Украины, гражданское,
административное, криминальное право,
изложенноев
соответствующих кодексах. Что касается
ведомственных нормативных актов,
то они определяются приказами,
руководствами,
положениями и инструкциями, которые
издаются ведомствами, организациями и
предприятиями, которые
действуют в пределах определенных
структур.
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотношения его со всей системой законов и правовых актов Украины.
Требования информационной безопасности должны органически входить во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и т.п. Обычно используется следующая структура правовых актов, которые ориентированы на правовую защиту информации.
Конституционное законодательство — нормы, которые касаются вопросов информатизации и защиты информации, входят в него как составные элементы.
Общие законы, кодексы (о собственности, о недрах, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности и т.п.), которые включают нормы по вопросам информатизации и информационной безопасности.
Законы об организации управления относительно отдельных структур хозяйства, экономики, системы государственных органов и определения их статуса. Такие законы включают отдельные нормы по вопросам защиты информации. Рядом с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, которая представляет общегосударственный интерес.
Специальные законы, которые относятся к конкретным сферам отношений, отраслей хозяйства, процессов. В их число входят Законы Украины "Об информации", "О защите информации в автоматизированных системах" и т.п. Собственно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.
Подзаконные нормативные акты по защите информации.
Правоохранительное законодательство Украины, которое содержит нормы об ответственности за правонарушение в сфере информатизации.
Специальное законодательство в отрасли безопасности информации может быть представленное совокупностью законов. В их составе особое место занимают Законы "Об информации" и "О защите информации в автоматизированных системах", которые закладывают основы правового определения всех важнейших компонентов информационной деятельности:
информации и информационных систем;
субъектов — участников информационных процессов;
правоотношений производителей и потребителей информационной продукции;
владельцев (источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Данные законы также определяют основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Данные законы содержат, кроме того, общие нормы по организации и ведения информационных систем, включая банки данных государственного назначения, порядок государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайне.
Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, совокупность которых по уровню представляет иерархическую систему от Конституции Украины к функциональным обязанностям и контрактам конкретного исполнителя, которые определяют перечень сведений, которые подлежат охране, и мероприятия ответственности за их разглашение.
Одним из новых направлений правовой защиты есть страховое обеспечение. Оно предназначено для защиты собственной информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, которые возникают в ходе работы с информацией. К ним относятся разглашения, утечка и несанкционированный доступ к конфиденциальной информации.
Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, которые вызваны стихийными бедствиями, чрезвычайными событиями в различных отраслях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплаты денежной компенсации или предоставления сервисных услуг (ремонт, возобновление) при наступлении страхового события.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся :
положение о сохранении конфиденциальной информации;
перечень сведений, которые составляют конфиденциальную информацию;
инструкция о порядке допуска сотрудников к сведениям, которые составляют конфиденциальную информацию;
положение о специальном делопроизводстве, документообороте;
перечень сведений, которые разрешены к опубликованию в открытой печати;
положение о работе с иностранными фирмами и их представителями;
обязательство сотрудника о сохранении конфиденциальной информации;
памятка сотруднику о сохранении коммерческой тайны.
Приведенные выше нормативные акты направленные на предупреждение случаев неправомерного разглашения секретов на правовой основе — в случае их нарушения должны приниматься соответствующие мероприятия.
В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мероприятий, могут быть выбраны следующие формы защиты информации:
патентование;
авторское право;
признание сведений конфиденциальными;
товарные знаки;
применение норм обязательного права.
Существует определенные различия между авторским правом и коммерческой тайной. Авторское право защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что сравнительно с патентом и авторским правом коммерческая тайна и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.
Кроме вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии.
Лицензия — это разрешение, выданное государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции и предоставление права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.
Коммерческая тайна — это сведения, которые не являются государственными секретами, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может привести к убыткам их владельцам.
К коммерческой тайне не относятся:
сведения, что охраняются государством;
сведения, которые являются общеизвестными на законном основании;
сведения о негативных сторонах деятельности;
учредительные документы и сведения о хозяйственной деятельности.
Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые следующие претензии к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу будут просто безосновательными.
Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника в письменном виде, то сотрудник, который похитил важную информацию при нарушении установленного порядка работы с ней скорее всего не будет наказан.
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отображаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отображаются в Уставе (учредительном договоре) в виде следующих положений:
предприятие имеет право определять состав, объемы и порядок защиты конфиденциальных сведений, требовать от своих сотрудников обеспечения их сохранения и защиты от внутренних и внешних угроз;
предприятие обязано обеспечивать сохранение конфиденциальной информации.
Такие требования дают администрации предприятия следующие права:
создавать организационные структуры по защите конфиденциальной информации;
выдавать нормативные и предписывающие документы, которые определяют порядок выделения сведений конфиденциального характера и механизмы их защиты;
включать требования по защите информации в соглашения по всем видам хозяйственной деятельности;
требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
распоряжаться информацией, которая является собственностью предприятия, с целью выгоды и недопущения экономических убытков коллектива предприятия и владельцу средств производства;
разрабатывать "Перечень сведений конфиденциальной информации"
Обязанности конкретного сотрудника, рабочего или служащего относительно защиты информации обязательно должны быть оговоренны в трудовом договоре (контракте). В соответствии с КЗоТ при заключении трудового договора работник обязывается выполнять определенные требования, которые действуют на данном предприятии. Независимо от формы заключения договора (устного, письменного ли) подпись работника на приказе о приеме на работу подтверждает его согласие с условиями договора.
Требования по защите конфиденциальной информации могут быть оговоренны в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, которые выплывают из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент привлечения данного лица в механизм обеспечения информационной безопасности.
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления заданий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организации.
Правовые мероприятия обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меру их ответственности за нарушение установленных норм.