- •Оглавление
- •Введение
- •1 Понятия информационной безопасности
- •1.1 Основные составляющие информационной безопасности
- •1.2 Проблемы информационной безопасности
- •2. Правовые аспекты информационной безопасности
- •2.1 Органы (подразделения), обеспечивающие информационную безопасность
- •2.2 Нормативно-правовые акты в области информационной безопасности в рф
- •2.3 Ответственность за преступления в области информационных технологий
- •3. Угрозы информационной безопасности
- •3.1 Основные определения и критерии классификации угроз
- •3.2 Основные угрозы доступности
- •3.3 Основные угрозы целостности
- •3.4 Основные угрозы конфиденциальности
- •3.5 Компьютерные вирусы
- •3.6 Средства защиты от компьютерных вирусов
- •3.7 Антивирусные программы
- •3.8. Современное антивирусное программное обеспечение
- •4 Лабораторные работы Лабораторная работа №1: «Проверка электронных носителей на наличие вредоносных программ»
- •Лабораторная работа №2: «Настройка брандмауэра Windows»
- •Заключение
- •Библиографический список:
- •346500, Г. Шахты, Ростовская обл., ул. Шевченко, 147
2.2 Нормативно-правовые акты в области информационной безопасности в рф
В Концепции национальной безопасности Российской Федерации определены важнейшие задачи в информационной сфере, в том числе и в правовой области:
– установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
– разработка нормативной правовой базы и координация деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
Законодательство России в области информатизации начало формироваться с 1991 года.
ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ определяет понятие информация как «сведения (сообщения, данные) независимо от формы их представления» [19].
При решении организационно-правовых вопросов обеспечения информационной безопасности исходят из того, что информация попадает под нормы вещного права, что дает возможность применять к информации нормы уголовного и гражданского права в полном объеме.
Впервые в правовой практике России информация как объект права была определена в ст. 128 ГК РФ, принятого 30 ноября 1994 г. № 51-ФЗ, где говорится: «К объектам гражданских прав относятся охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность)». Данная статья дает возможность квалифицировать посягательства на сохранность и целостность информации, как преступления против собственности.
Защита прав на получение информации предполагает обеспечение условий, препятствующих преднамеренному сокрытию или искажению информации при отсутствии для этого законных оснований. В соответствии со ст.29 Конституции РФ «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом».
Круг информации, которую запрещено относить к информации с ограниченным доступом, так же определен ФЗ «Об информации, информационных технологиях и о защите информации». К такой информации относятся:
1) нормативно-правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
2) информация о состоянии окружающей среды;
3) информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
4) информация, накапливаемая в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
5) иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.
ФЗ «О государственной тайне» от 21.07.1993г. № 5485-1 регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации [9]. Данный Закон определяет понятие «государственная тайна» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации».
Российским законодательством используется понятие «коммерческая тайна», определение которого приведено в ФЗ «О коммерческой тайне» от 29.07.2004 г. № 98-ФЗ: «Информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны» [17].
Для обеспечения четкой правовой базы применения к информации норм вещного права в ФЗ «Об информации, информационных технологиях и о защите информации» вводится понятие «документированная информация (документ) – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель». Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для документированной информации.
Вопросы сертификации систем информационной безопасности определяются Постановлением Правительства от 26.06.1995 г. № 608 «О сертификации средств защиты информации» [13], Законом «О защите прав потребителей» от 07.02.1992 г. № 2300-1 [16]. Кроме того, необходимо использовать руководящие документы Гостехкомиссии России.
В соответствии со ст. 17 ФЗ «Об информации, информационных технологиях и о защите информации» нарушение требований Закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
ФЗ «Об электронной подписи» от 06 апреля 2011 года № 63-ФЗ (в ред. Федерального закона от 01.07.2011 № 169-ФЗ) [21]. Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.
ФЗ «Об электронной подписи» определяет понятие «электронная подпись» как «информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию».
В соответствии со ст. 5 ФЗ «Об электронной подписи» видами электронных подписей являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ [18]. Основополагающим понятием, которое приведено в ФЗ «О персональных данных», являются «персональные данные» – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Кроме того, в Законе также введено понятие «оператор» – «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Таким образом, под действие данного Закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона, является понятие «обработка персональных данных» – «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». Следовательно, под обработкой понимается максимально широкий спектр операций над персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Согласно ст. 19 ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Еще одно требование сформулировано в ст. 22 ФЗ «О персональных данных» – оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Однако и в данной статье предусмотрен целый ряд исключений. Например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор, на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами. Необходимо отметить, что в тексте ФЗ «О персональных данных» и соответствующих постановлениях Правительства Российской Федерации сформулированы лишь общие требования по защите персональных данных, поэтому в начале 2008 г. ФСТЭК России (Федеральной службой по техническому и экспортному контролю) и ФСБ России (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям ФЗ «О персональных данных».
В соответствии со ст. 24 ФЗ «О персональных данных» «лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». На практике нарушение требований данного Закона может привести к одному из следующих последствий: приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований ФЗ «О персональных данных»; направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных; приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной; конфискация несертифицированных средств защиты информации. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное программное обеспечение, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные; привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов. Кроме того, согласно п. 3 ст. 21 ФЗ «О персональных данных» в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.