Организационно-правовое обеспечение защиты информации

У нас в стране государственные  нормативные документы по направлению  зашиты информации, обрабатываемой средствами вычислительной техники и связи, начали создаваться еще в 60-е годы, однако общегосударственный характер они приобрели с образованием Гостехкомиссии СССР в 1973 году.

К настоящему времени разработаны  и введены в действие руководящие  документы Гостехкомиссии по защите от несанкционированного доступа средств  вычислительной техники и автоматизированных систем, описанный в четвертой главе стандарт на алгоритм криптографического преобразования, стандарт на цифровую подпись и хеш-функцию.

Создание законодательной  основы, необходимой для обеспечения  защиты информации. Абсолютная необходимость создания законодательной основы очевидна, поэтому в ведущих западных странах, а теперь и в России этому вопросу уделяется достаточно большое внимание.

Проблема законодательного регулирования  процессов обработки информации начала впервые обсуждаться за рубежом  в 60-е годы и, в частности, в США в связи с предложением создать общенациональный банк данных. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям.

ЗАЩИТА ПРАВ ЛИЧНОСТИ НА ЧАСТНУЮ ЖИЗНЬ Этот аспект не является новым для мирового сообщества. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:

• установление пределов вмешательства в частную жизнь с использованием компьютерных систем;
• введение административных механизмов зашиты граждан от такого вмешательства.

Примерами документов, относящихся  к этому направлению являются резолюция Европарламента "О защите прав личности в связи с прогрсссом информатики" (1979 г.) и Конвенция ЕС "О защите лиц при автоматизированной обработке данных персонального характера" (1 980 г.).

ЗАЩИТА ГОСУДАРСТВЕННЫХ  ИНТЕРЕСОВ. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран -членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.

ЗАЩИТА ПРЕДПРИНИМАТЕЛЬСКОЙ И ФИНАНСОВОЙ ДЕЯТЕЛЬНОСТИ. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие "коммерческая тайна" и устанавливающего условия для осуществления добросовестной конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.

К этому же направлению  можно отнести создание механизмов защиты авторских прав, в частности  прав авторов программной продукции. Последний аспект отражен в директиве  ЕС "О защите программ для ЭВМ и баз данных" (1990 г.).

Разработанные на международном уровне концептуальные основы и принципы защиты информации нашли отражение в национальных законодательствах ведущих стран  Запада. Ниже приведены некоторые  примеры действующих в них  законодательных актов:

Великобритания - Биль о надзоре за данными (1969 г.). Закон о защите информации (1984 г.);

Франция - Закон  об информатике, картотеках и свободах (1978 г.);

ФРГ - Закон о защите данных персонального  характера от злоупотреблений при  обработке данных (1977 г ). Закон о защите информации (1978 г.);

США - Закон о тайне частной  информации (1974 г.). Акт о злоупотреблениях в использовании ЭВМ (1986 г.), Закон  о безопасности компьютерных систем (1987 г.);

Канада  Закон о компьютерных и информационных преступлениях (1985 г.).

Наиболее развитое законодательство в этой сфере действует в США (свыше сотни различных законодательных актов). Законодательство США охватывает:

• определение и закрепление государственной политики в области информатизации,
• обеспечение развитого производства, технологий;
• борьбу с монополизмом и стимуляцию приоритетных направлений;
• организацию информационных систем;
• защиту прав потребителя, особенно прав граждан на информацию, защиту информации о гражданах;
• регулирование прав разработчиков программ для ЭВМ.

В большинстве стран в законодательствах  установлена ответственность за нарушение порядка обработки  и использования персональных данных; компьютерные преступления расцениваются  как преступления, представляющие особую опасность для граждан, общества и государства, и влекут значительно более жесткие меры наказания, нежели аналогичные преступления, совершенные без применения компьютерной техники как преступления рассматриваются также действия, создающие угрозу нанесения ущерба, например, попытка проникновения в систему, внедрение программы-вируса и т.п.

Говоря об отечественном опыте правового обеспечения информатизации и защиты информации, мы должны отметить, что вопрос этот был впервые поставлен в нашей стране в 70-х годах в связи с развитием АСУ различных уровней. Однако, нормативная основа в ту пору не вышла за рамки ведомственных актов, нескольких постановлений правительства и аналогичных актов республиканского уровня. Поэтому законодательное регулирование процессов информатизации к: началу 90-х годов нельзя было назвать удовлетворительным. Необходимо было срочно создать правовую основу информатизации России, законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации сформировать механизм обеспечения информационной безопасности.

1991 г. может быть отмечен как  начало активной законотворческой  деятельности в этом направлении.  Законодатели при этом справедливо сконцентрировали свое внимание на следующих наиболее острых для России проблемах:

• проблеме права на информацию;
• проблеме собственности на некоторые виды информации;
• проблеме признания информации объектом товарного характера.

На сегодняшний день в "Декларации прав и свобод человека и гражданина", принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году» закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях

охраны личной, семейной, профессиональной, коммерческой и государственной  тайны, а также нравственности. Перечень сведений, составляющих государственную  тайну, устанавливается законом.

Принят базовый закон Российской Федерации "Об информации, информатизации и защите информации", а также специальные законы "О государственной тайне", "О правовой охране программ ЭВМ и баз данных", "О правовой охране топологий интегральных микросхем", «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации "О безопасности", принятом в марте 1992 года.

В Государственной Думе Российской Федерации продолжаются работу кал  законодательством в области  защиты перекальных дачных. Реальным шагом в направлении укрепления правовой основы предпринимательской деятельности явится законодательное закрепление в России института коммерческой тайны. Одной из целей Закона Российской Федерации "О коммерческой тайне", первое слушание которого в Государственной Думе уже состоялось, является создание со стороны государства необходимых гарантий защиты субъектов путем предоставления им права засекречивать ценную информацию в качестве коммерческой тайны для защиты ее владельца от промышленного шпионажа и недобросовестной конкуренции.

Основные подходы к  разработке организационно-правового  обеспечения Организационно-правовая основа зашиты информации в АС

В качестве центрального звена, реализующего содержание организационно-правовой основы (см. рис.1), выступает специально создаваемая в составе АС служба защиты (безопасности) информации. Организация таких служб предусмотрена как Законом "Об информации, информатизации и защите информации", так и Законом Российской Федерации "О безопасности", где в статье 27 записано:

"... для практической реализации  требований и правил по защите  информации поддержанию информационных  систем в защищенном со стоянии,  эксплуатации специальных программно-технических  и обеспечению организационных  мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах могут создаваться службы безопасности информации.... Предприятия, организации  и учреждения, обрабатывающие  информацию с  ограниченным доступом, являющуюся собственностью государства, создают службы безопасности информации в обязательном порядке."

Исходя из приведенных задач  службы зашиты информации, могут быть сформулированы ее основные функции:

• формирование требований к системе защиты в процессе создания АС;
• участие в проектировании системы защиты;
• участие в испытаниях и приемке системы защиты и составляющих ее элементов;
• планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
• распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;
• организация генерирования и установки кодов-идентификаторов технических средств;
• организация и введение в память АС служебных массивов системы защиты;
• наблюдение за функционированием системы защиты и ее элементов;
• организация превентивных проверок надежности функционирования системы защиты;
• обучение пользователей и персонала АС правилам обработки защищаемой информации;
• обучение пользователей и персонала АС правилам обработки защищаемой информации;
• контроль за соблюдением пользователями и персоналом АС правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
• принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.

Второй по значимости проблемой  создания организационно-правовой основы является комплектование системы руководящих  и методических документов по защите информации. Здесь с практической точки зрения можно было бы руководствоваться следующим;

все существующие в стране документы, регламентирующие правила обращения  с информацией, имеющей ограничительный  гриф, в полном объеме распространяются также и на информацию, циркулирующую  в процессе функционирования АС;

с целью учета специфических  особенностей накопления, хранения и  обработки данных в АС разрабатываются  и утверждаются специальные руководящие  и методические материалы, которые  должны иметь юридическую силу;

с целью интерпретации и детализации положений и требований указанных материалов применительно к конкретным условиям в каждой АС должны быть разработаны и в установленном порядке утверждены

инструкции пользователям, операторам АС, дежурным сменам администрации  банка данных, службе защиты, а также техническая документация системы защиты.

При решении вопроса  об ответственности за нарушение  правил защиты прежде всего следует  установить, привело ли оно к утечке защищаемых данных. В этом случае виновные несут ответственность в соответствии с существующими законами. За нарушение правил защиты, не повлекших за собою утечку данных, устанавливаются административные меры ответственности, предусмотренные трудовым законодательством.

Разрешение спорных  и конфликтных ситуаций, связанных  с вопросами распределения и использования реквизитов системы защиты {паролей, ключей и т.п.), должно входить в компетенции: службы защиты информации, а ситуаций, связанных с интерпретацией документов по защите, - в компетенцию органов и лиц, утвердивших соответствующие документы.

Технико-математические аспекты. Проведенные исследования показывают, что все проблемы, связанные с решением рассматриваемых задач фиксации различных фактов взаимодействия с защищаемой информацией (как санкционированного, так и несанкционированного), могут быть разделены на две группы - общие и специфические. При этом под общими понимаются такие проблемы, решение которых может быть осуществлено общими средствами разграничения доступа. К специфическим же относятся проблемы фиксации подписи под документом, представленным в АС в электронном виде. Такая подпись получила название электронной или цифровой.

Углубленные исследования данной проблемы как у нас в стране, так и  за рубежом показывают, что наиболее перспективным способом реализации электронной (цифровой) подписи является использование криптографических методов преобразования данных. Область применения цифровой подписи чрезвычайно широка - от проведения финансовых и банковских безбумажных операций до контроля за выполнением международных договоров и охраны авторских прав.