- •Законодательные основы обеспечения информационной безопасности
- •Основные направления правового обеспечения информационной безопасности
- •Министр Российской Федерации по атомной энергии
- •Первый заместитель председателя Госкомоборонпрома России
- •3. Ответственность за преступления в области информационных технологий
- •Содержание.
- •1.2 Защита информации.
- •1.3 Эффективность защиты информации.
- •2. Защита информации от технических разведок.
- •2.1. Технические разведки.
- •2.2. Объекты защиты.
- •2.3. Технические средства и способы защиты.
- •3.1. Общие понятия.
- •3.2. Безопасность информации.
- •3.3. Защита информации. Основные понятия.
- •3.6. Защита информации от воздействия специальных электронных закладных устройств (аппаратных закладок) и внешних воздействий.
- •4. Защита акустической информации
- •4.1. Общие понятия
- •4.2. Каналы утечки акустической (речевой) информации
- •4.3. Защита "выделенных" помещений
- •Алфавитный указатель терминов
- •1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение
- •2. Виды угроз информационной безопасности Российской Федерации
- •3. Источники угроз информационной безопасности Российской Федерации
- •4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •5. Общие методы обеспечения информационной безопасности Российской Федерации
- •6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
- •8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
- •9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •10. Основные функции системы обеспечения информационной безопасности Российской Федерации
- •11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
- •Глава 1. Общие положения
- •Глава 2. Информационные ресурсы
- •Глава 3. Пользование информационными ресурсами
- •Глава 4. Информатизация, информационные системы, технологии и средства их обеспечения
- •Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации
- •Раздел I. Общие положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны
- •19 Сентября 1997 года
- •24 Сентября 1997 года
- •Госстандарт россии Москва 1996 Предисловие
- •3 Введен впервые
- •Введение
- •Гост р 50922-96
- •4 Классификация факторов, воздействующих на защищаемую информацию
Основные направления правового обеспечения информационной безопасности
Все многообразие нормативных актов, затрагивающих вопросы обеспечения информационной безопасности, рассмотрим по группам регламентируемых ими вопросов.
Права собственности, владения и распоряжения информацией.
Для обеспечения четкой правовой базы применения к информации норм вещного права в Законе “Об информации…” (ст. 5,ч.1) вводится понятие “документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать”. Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для документированной информации.
В ст. 2 Закона “Об информации…” определены три главных понятия имущественных прав в информационной области:
собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование объектами и реализующий полномочия распоряжения в пределах, установленных Законом;
пользователь (потребитель) информации – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
С правом собственности, владения и распоряжения информацией тесно связано понятие авторского права и сопутствующее этому понятию нарушение в форме “пиратства”.
Понятие авторского права впервые сформулировано и закреплено законом в Великобритании в 1709 году, когда английский парламент принимает Статут королевы Анны. В нем изложены основные принципы авторского права, не устаревшие до настоящего времени. В 1787 году, вскоре после провозглашения независимости, американская Конституция наделяет Конгресс властью "содействовать прогрессу науки и полезных ремесел, гарантируя на определенное время авторам и изобретателям исключительное право на их произведения.
Программное обеспечение пополнило список объектов интеллектуальной собственности, и еще в 1964 г. США признали необходимым регистрировать его наравне с литературными произведениями в соответствии с Законом об Авторском праве.
В 1980 г. Закон уже явно защищает компьютерные программы от любых форм самовольного использования, а в декабре 1990 г. Конгресс США вынужден ужесточить меры наказания за нарушения авторского права создателей программного обеспечения. Запрещается дублирование программного обеспечения для прибыли, перекачивание копий с сети или "бескорыстное" предоставление неправомочной копии другому индивидууму (единственное исключение - право пользователя на одну резервную архивную копию). Названные действия квалифицируются в США как федеральное преступление, подлежащее наказанию значительным штрафом и сроком тюремного заключения.
С 1993 г. не менее 45 стран пересматривали законодательство об авторском праве, повышая уголовную ответственность за нарушения и предоставляя соответствующие полномочия суду и исполнительным органам.
Специально созданный союз BSA (Business Software Alliance) представляет интересы почти 20 компаний-производителей ПО: способствует продвижению продукции ПО на мировом рынке и координирует свои действия по защите авторского права в международном масштабе.
В 1988 г. США принимают решительные меры по защите своей ИС в других странах: Комиссия по торговле следит за соблюдением закона и готовит перечень из трех списков: страны, где допускаются самые грубые нарушения (именно в этом списке находим Россию, Китай, Южную Корею); страны, где возможны нарушения; страны, где достаточно простого наблюдения. В отношении стран, фигурирующих в первом списке, США могут применять различные санкции (увеличение пошлин, отмена льгот и т. п.), вынуждая совершенствовать национальную систему охраны интеллектуальной собственности, и не только чужой, но и отечественной.
В ежегодном обзоре BSA по результатам 1994 г. фигурирует рекордное число стран (77), уличенных в незаконном копировании программного обеспечения. Ущерб, нанесенный производителям программного обеспечения, составил в сумме более 15,2 млрд. долларов, считая убытки разработчиков, дистрибьюторов и продавцов, в том числе:
- европейские страны ответственны за 6 млрд. долларов (39% общемировых потерь) со средним уровнем пиратства около 58%;
- общие потери в Азии превысили 4,3 млрд. долларов (29% общемирового количества) со средним уровнем пиратства 68%;
- в странах Латинской Америки ущерб составил 1,3 млрд. долларов (9% общемирового количества) со средним региональным уровнем пиратства 78%;
- страны Ближнего Востока и Африки дают самый высокий средний показатель пиратства программного обеспечения, равный 81%, а долларовые потери в этом регионе около 392 млн. долларов, всего 2% от общемирового количества.
Наиболее значительный ущерб от "пиратства" (43%) понесли в основном три страны - США (более 2,8 млрд. долларов), Япония (больше 2 млрд. долларов) и Германия (больше 1,8 млрд. долларов).
Первый российский закон об авторском праве принят в начале XIX века, затем указом Николая I в середине века был увеличен срок охраны авторского права до 50 лет после смерти автора. Появление этого указа связывают с ходатайством вдовы А.С. Пушкина Натальи Николаевны.
Восстановление института авторского права в России, начиная с 1992 года, знаменовалось принятием ряда известных законов, унифицированных с аналогичными законами европейских стран (ЕЭС), США и Японии, что позволило России в 1994 - 1995 г.г. присоединиться к важным международным соглашениям в этой области - Бернской Конвенции и Римской Конвенции.
Степень открытости информации (необходимость или возможность ее отнесения к категории ограниченного доступа); правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации.
“Закон об информации…” гласит:
документированная информация ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (ст.10, ч. 2).
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст. 2);
ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (ст. 11, ч. 1);
не допускаются сбор, хранение, использование и распространение информации о ЧАСТНОЙ ЖИЗНИ, а равно информации, нарушающей ЛИЧНУЮ ТАЙНУ, СЕМЕЙНУЮ ТАЙНУ, ТАЙНУ ПЕРЕПИСКИ, ТЕЛЕФОННЫХ ПЕРЕГОВОРОВ, ПОЧТОВЫХ, ТЕЛЕГРАФНЫХ и иных сообщений, физического лица без его согласия, кроме как на основании судебного решения (ст. 11, ч. 1).
Порядок отнесения информации к категории ограниченного доступа.
Отнесение информации к категориям осуществляется:
к государственной тайне - в соответствии с Законом Российской Федерации “О государственной тайне”; принятым в июле 1993 года, которым установлено три степени секретности сведений: “ОСОБОЙ ВАЖНОСТИ”, “СОВЕРШЕННО СЕКРЕТНО” и “СЕКРЕТНО”.
к конфиденциальной информации - в порядке, установленном Гражданским кодексом Российской Федерации, введенным в действие с 1995 года, которым предусмотрена категория “СЛУЖЕБНАЯ ТАЙНА” в сочетании с категорией “КОММЕРЧЕСКАЯ ТАЙНА”.
Статья 139 Кодекса гласит: информация составляет СЛУЖЕБНУЮ или КОММЕРЧЕСКУЮ ТАЙНУ в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могу составлять СЛУЖЕБНУЮ или КОММЕРЧЕСКУЮ ТАЙНУ, определяются законом и иными правовыми актами.
Коммерческая тайна - управленческая, производственная, научно-техническая, финансовая, экономическая, торговая и иная документированная информация, используемая для достижения целей предпринимательской деятельности (получение прибыли, предотвращение ущерба и упущенной выгоды, получение добросовестного преимущества над конкурентами), которую предприниматель относит к конфиденциальной.
Конфиденциальная информация - документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности.
Указом Президента Российской Федерации от 6 марта 1997 года № 188 утвержден перечень сведений конфиденциального характера:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Право на коммерческую тайну не может быть использовано для сокрытия правонарушений и нанесения или создания условий для нанесения ущерба путем недобросовестной конкуренции законным интересам граждан, государства, других юридических лиц.
Органы государственной власти, а также органы местного самоуправления, не вправе вмешиваться в определение и охрану коммерческой тайны, за исключением случаев, предусмотренных законодательством Российской Федерации, и в пределах своих полномочий.
Принципиальным является положение о том, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие либо гражданин.
Для сведений, составляющих коммерческую тайну, устанавливаются следующие грифы конфиденциальности: “Коммерческая тайна. Строго конфиденциально” и “Коммерческая тайна. Конфиденциально”.
Организация охраны коммерческой тайны включает в себя:
определение перечня должностных лиц, уполномоченных относить информацию к коммерческой тайне;
установление правил отнесения информации к коммерческой тайне, постановки и снятия грифа конфиденциальности (при этом запрещается использовать для маркировки носителей коммерческой тайны грифы секретности, установленные для государственной тайны Российской Федерации, а также гриф “Для служебного пользования”);
разработку и доведение до лиц, допущенных к сведениям, составляющим коммерческую тайну, инструкций по соблюдению режима конфиденциальности;
ограничение доступа к носителям информации, содержащим коммерческую тайну;
ведение специального делопроизводства, обеспечивающего выделение и сохранность носителей, содержащих коммерческую тайну;
использование правовых, организационных, технических и иных средств защиты конфиденциальной информации;
осуществление контроля за соблюдением установленного режима конфиденциальности.
Субъект предпринимательской деятельности имеет право на судебную защиту от незаконного получения, владения и использования другими физическими и юридическими лицами, сведений, составляющих коммерческую тайну, если:
данная информация имеет действительную или потенциальную коммерческую ценность в силу ее потребительской стоимости, коммерческого спроса и неизвестности третьим лицам;
к этой информации на законном основании ограничен свободный доступ других физических и юридических лиц;
составляющие коммерческую тайну сведения представлены в форме документированной информации;
к определению и охране данной информации приняты меры, предусмотренные соответствующими нормативными и законодательными документами.
Под категорией “служебная тайна” (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации.
Работа по определению сведений, составляющих коммерческую тайну, существенно облегчается, если воспользоваться Постановлением Правительства РСФСР от 5.12.91 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
Коммерческую тайну не могут составлять:
сведения из учредительных документов (решение о создании предприятия или договор учредителей) и сведения из Устава;
сведения из документов, дающих право заниматься предпринимательской деятельностью (из регистрационных удостоверений, лицензий, патентов);
сведения по установленным формам отчетности о финансово-хозяйственной деятельности; сведения о ликвидности предприятия; сведения об уплате налогов и обязательных платежей;
сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, не соблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
сведения о численности, составе работающих, фонде заработной платы и условиях труда, а также о наличии свободных рабочих мест.
Коммерческую тайну государственных и муниципальных предприятий до и в процессе их приватизации не могут составлять сведения:
о размерах имущества предприятия и его денежных средствах;
о вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
о кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства Российской Федерации и заключенных им договоров;
о договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.
Федеральные органы исполнительной власти, органы исполнительной власти субъектов Федерации, правоохранительные и судебные органы вправе в пределах своих полномочий и в соответствии с законодательством Российской Федерации получать от субъектов предпринимательской деятельности сведения, составляющие коммерческую тайну.
В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф “конфиденциально” или иной гриф (к примеру, “для служебного пользования”, применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233).
За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183).
Ст. 21,ч.3 “Закона об информации” предусмотрен контроль со стороны органов государственной власти за соблюдением требований к защите информации с ограниченным доступом, порядок которого определяет Правительство Российской Федерации. При этом контроль за состоянием защиты должен охватывать как государственные, так и негосударственные структуры и учитывать все три составляющие информационных ресурсов с ограниченным доступом:
информацию, составляющую государственную тайну;
конфиденциальную документированную информацию;
персональные данные.
Полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты определены в Законе “О государственной тайне”.
В Законе определен перечень сведений, составляющих государственную тайну, принципы отнесения сведений к государственной тайне и засекречивания самих сведений, а так же их носителей, порядок рассекречивания сведений и их носителей, порядок доступа должностных лиц и граждан к государственной тайне. Установлены степени секретности сведений, составляющих государственную тайну.
Организация работ по защите информации, структура и основные функции государственной системы защиты информации (ГСЗИ), государственные органы управления в области информационной безопасности, их права и обязанности.
Законом “Об информации…” определены органы защиты государственной тайны:
межведомственная комиссия по защите государственной тайны;
органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах;
органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия) образована в соответствии с Законом Российской Федерации “О государственной тайне” и Указом Президента Российской Федерации от 8 ноября 1995 г. № 1108 “О Межведомственной комиссии по защите государственной тайны”.
Межведомственная комиссия - коллегиальный орган, основной функцией которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (далее именуются – органы государственной власти) по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне.
Межведомственная комиссия при осуществлении своей деятельности имеет право:
формировать перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне;
формировать перечень сведений, отнесенных к государственной тайне;
подготавливать предложения по организации разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне, и представлять их в установленном порядке в Правительство Российской Федерации;
рассматривать и представлять в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации предложения по правовому регулированию вопросов защиты государственной тайны в Российской Федерации;
определять порядок рассекречивания носителей сведений, составляющих государственную тайну, в случае ликвидации организации - фондообразователя и отсутствия ее правопреемника;
организовывать работу межведомственных экспертных групп по рассекречиванию и продлению сроков засекречивания архивных документов в случае отсутствия организации - фондообразователя и ее правопреемника;
рассматривать в случаях, предусмотренных Законом Российской Федерации “О государственной тайне”, запросы органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций и граждан о рассекречивании сведений, отнесенных к государственной тайне;
подготавливать экспертные заключения на документы, содержащие сведения, отнесенные к государственной тайне, в целях решения вопроса о возможности передачи указанных сведений другим государствам и представлять эти заключения в установленном порядке в Правительство Российской Федерации для принятия решения;
принимать решения о передаче органом государственной власти, органом местного самоуправления, предприятием, учреждением и организацией сведений, составляющих государственную тайну, в случаях изменения их функций, форм собственности, ликвидации или прекращения работ с использованием сведений, составляющих государственную тайну, другому органу государственной власти, органу местного самоуправления, предприятию, учреждению и организации;
подготавливать и представлять в установленном порядке в Правительство Российской Федерации предложения по порядку определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, наносимого предприятиям, учреждениям, организациям и гражданам в связи с засекречиванием информации, находящейся в их собственности;
подготавливать и представлять в установленном порядке в Правительство Российской Федерации предложения по правилам отнесения сведений, составляющих государственную тайну, к различным степеням секретности;
рассматривать по поручениям Президента Российской Федерации и Правительства Российской Федерации экспертные заключения в целях определения размеров возможного ущерба, который может быть нанесен безопасности Российской Федерации вследствие несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, нанесенного предприятиям, учреждениям, организациям и гражданам в связи с засекречиванием информации, находящейся в их собственности;
рассматривать по поручениям Президента Российской Федерации и Правительства Российской Федерации проекты международных договоров Российской Федерации о совместном использовании и защите сведений, составляющих государственную тайну, подготавливать соответствующие предложения и экспертные заключения, участвовать в международном сотрудничестве по этим вопросам;
давать заключения на решения руководителей органов государственной власти, связанные с изменением действующих в органах государственной власти, органах местного самоуправления, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, которые могут привести к изменению перечня сведений, отнесенных к государственной тайне, приостанавливать или опротестовывать их решения;
координировать работы по организации сертификации средств защиты информации;
координировать в установленном порядке проведение работ по лицензированию деятельности предприятий, учреждений и организаций, связанной с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и/или оказанием услуг по защите государственной тайны;
решать вопрос о продлении 30-летнего срока засекречивания сведений, составляющих государственную тайну;
рассматривать по поручениям Президента Российской Федерации и Правительства Российской Федерации другие вопросы в соответствии с Законом Российской Федерации “О государственной тайне”.
В Межведомственную комиссию входят руководители федеральных органов исполнительной власти, Администрации Президента Российской Федерации или их заместители.
Состав Межведомственной комиссии по должностям утверждается Президентом Российской Федерации, а персональный состав - Правительством Российской Федерации.
Ответственным секретарем Межведомственной комиссии по должности является заместитель председателя Государственной технической комиссии при Президенте Российской Федерации.
Состав Межведомственной комиссии по защите государственной тайны по должностям:
Первый заместитель Председателя Правительства Российской Федерации (председатель Межведомственной комиссии)
Председатель Гостехкомиссии России (заместитель председателя Межведомственной комиссии)
Директор ФСБ России (заместитель председателя Межведомственной комиссии)