Защита информации в международном праве

Объекты и явления характеризуются  значениями физических величин. Например, массой тела, его температурой, расстоянием  между двумя точками, длиной пути (пройденного движущимся телом), яркостью света и т.д. Природа некоторых  величин такова, что величина может  принимать принципиально любые  значения в каком-то диапазоне. Эти  значения могут быть сколь угодно близки друг к другу, исчезающе малоразличимы, но все-таки, хотя бы в принципе, различаться, а количество значений, которое может  принимать такая величина, бесконечно велико.

Такие величины называются непрерывными величинами, а информация, которую  они несут в себе, непрерывной  информацией.

Слово “непрерывность” отчетливо  выделяет основное свойство таких величин - отсутствие разрывов, промежутков между значениями, которые может принимать величина. Масса тела - непрерывная величина, принимающая любые значения от 0 до бесконечности. То же самое можно сказать о многих других физических величинах - расстоянии между точками, площади фигур, напряжении электрического тока.

Кроме непрерывных существуют иные величины, например, количество людей  в комнате, количество электронов в  атоме и т.д. Такого рода величины могут принимать только целые  значения, например, 0, 1, 2, ..., и не могут  иметь дробных значений. Величины, принимающие не всевозможные, а лишь вполне определенные значения, называют дискретными. Для дискретной величины характерно, что все ее значения можно пронумеровать целыми числами 0,1,2,...Примеры дискретных величин: геометрические фигуры (треугольник, квадрат, окружность); буквы алфавита; цвета радуги.

Можно утверждать, что различие между двумя формами информации обусловлено принципиальным различием  природы величин. В то же время  непрерывная и дискретная информация часто используются совместно для  представления сведений об объектах и явлениях.

Увеличение роли и значения информации в современном обществе, безусловно, велика. Одна из основных особенностей состоит в том, что информация, и особенно знание как ее высшая форма, занимает в нем совершенно особое место. Информация в ее обыденном смысле всегда играла решающую роль в жизни человека. В отличие от высших животных, у которых жизненно важная информация вырабатывается, хранится, передается в основном с помощью биофизических структур, человек в своей деятельности регулируется знаниями, т. е. особой небиологической формой информации. По мере усложнения человеческой деятельности объем знаний, требуемых для ее реализации, резко возрастает. С переходом к современной стадии развития, характеризующейся нарастающим темпом технических и технологических инноваций, объем знаний, необходимых для их обоснования, разработки, реализации и распространения, должен расти экспоненциально. Подсчитано, что, для увеличения объема материального производства в два паза необходимо четырехкратное возрастание объема обеспечивающей его информации. В современных условиях отсутствие необходимых знаний может оказаться непреодолимым препятствием социального и научно-технического прогресса.

В этих условиях информация, обеспечивающая жизненно и исторически  важные направления деятельности человека, превращается в наиболее ценный продукт  и основной товар, суммарная стоимость  которого зачастую превосходит суммарную  стоимость продуктов материального  производства.

Все предшествующие изменения  в производстве информации касались лишь способов ее фиксации, тиражирования  и распространения. Это достигалось  созданием письменности, книгопечатания и телефона, телеграфа, радио и  телевидения и т.д. Однако все  эти технологии не касались самого процесса создания, переработки и  смысловой трансформации знания.

Информационно-компьютерная революция радикально технологизирует интеллектуальную деятельность с помощью компьютеров и современных средств связи.

 

 
 
Глава 2. 
Защита информации в международном праве. 
2.1. Международные договоры и конвенции в области защиты информации. 
 
Конвенция Совета Европы о преступности в сфере компьютерной информации ETS N 185 была подписана 23 ноября 2001 г. в Будапеште. Она открыта для подписания как государствами - членами Совета Европы, так и не являющимися его членами государствами, которые участвовали в ее разработке. В частности, ее подписали Россия, США и Япония. 
Конвенция Совета Европы о защите от киберпреступности подразделяет преступления в киберпространстве на четыре группы. 
В первую группу преступлений, направленных против конфиденциальности, целостности и доступности компьютерных данных и систем, входят: незаконный доступ), незаконный перехват (ст. 3), воздействие на компьютерные данные (противоправное преднамеренное повреждение, удаление, ухудшение качества, изменение или блокирование компьютерных данных) (ст. 4) или системы (ст. 5). Также в эту группу преступлений входит противозаконное использование специальных технических устройств (ст. 6) - компьютерных программ, разработанных или адаптированные на совершение преступлений, предусмотренных в, а также компьютерных паролей, кодов доступа, их аналогов, посредством которых может быть получен доступ к компьютерной системе в целом или любой ее части). Нормы ст. 6 применимы только в том случае, если использование (распространение) специальных технических устройств направлено на совершение противоправных деяний. 
Во вторую группу входят преступления, связанные с использованием компьютерных средств. К ним относятся подлог и мошенничество с использованием компьютерных. Подлог с использованием компьютерных технологий включает в себя злонамеренные и противоправные ввод, изменение, удаление или блокирование компьютерных данных, влекущие за собой нарушение аутентичности данных, с намерением, чтобы они рассматривались или использовались в юридических целях в качестве аутентичных. 
Третью группу составляет производство (с целью распространения через компьютерную систему), предложение и (или) предоставление в пользование, распространение и приобретение детской порнографии, а также владении детской порнографией, находящейся в памяти компьютера (ст. 9)..............

2.2. . Защита информации при осуществлении международного сотрудничества

Между правительствами государств-членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности было заключено Соглашение. Закон Республики Казахстан от 1 июня 2010 года  № 286-IV

Статья 2.  Реализуя сотрудничество в соответствии с настоящим Соглашением, правительства государств-членов Шанхайской организации сотрудничества исходят из наличия следующих основных угроз в области обеспечения международной информационной безопасности: 
      1) разработка и применение информационного оружия, подготовка и ведение информационной войны; 
      2) информационный терроризм; 
      3) информационная преступность; 
      4) использование доминирующего положения в информационном пространстве в ущерб интересам и безопасности других государств; 
      5) распространение информации, наносящей вред общественно-политической и социально-экономической системам, духовной, нравственной и культурной среде других государств; 
      6) угрозы безопасному, стабильному функционированию глобальных и национальных информационных инфраструктур, имеющие природный и (или) техногенный характер.

Статья 3.С учетом угроз, указанных в статье 2 настоящего Соглашения, Стороны, их уполномоченные представители, а также компетентные органы государств Сторон, которые определяются в соответствии со статьей 5 настоящего Соглашения, осуществляют сотрудничество в области обеспечения международной информационной безопасности по следующим основным направлениям: 
      1) определение, согласование и осуществление необходимых совместных мер в области обеспечения международной информационной безопасности; 
      2) создание системы мониторинга и совместного реагирования на возникающие в этой области угрозы; 
      3) выработка совместных мер по развитию норм международного права в области ограничения распространения и применения информационного оружия, создающего угрозы обороноспособности, национальной и общественной безопасности; 
      4) противодействие угрозам использования информационно-коммуникационных технологий в террористических целях; 
      5) противодействие информационной преступности; 
      6) проведение необходимых для целей настоящего Соглашения экспертиз, исследований и оценок в области обеспечения информационной безопасности; 
      7) содействие обеспечению безопасного, стабильного функционирования и интернационализации управления глобальной сетью Интернет; 
      8) обеспечение информационной безопасности критически важных структур государств Сторон; 
      9) разработка и осуществление совместных мер доверия, способствующих обеспечению международной информационной безопасности; 
      10) разработка и осуществление согласованной политики и организационно-технических процедур по реализации возможностей использования электронной цифровой подписи и защиты информации при трансграничном информационном обмене; 
      11) обмен информацией о законодательстве государств Сторон по вопросам обеспечения информационной безопасности; 
      12) совершенствование международно-правовой базы и практических механизмов сотрудничества Сторон в обеспечении международной информационной безопасности; 
      13) создание условий для взаимодействия компетентных органов государств Сторон в целях реализации настоящего Соглашения; 
      14) взаимодействие в рамках международных организаций и форумов по проблемам обеспечения международной информационной безопасности; 
      15) обмен опытом, подготовка специалистов, проведение рабочих встреч, конференций, семинаров и других форумов уполномоченных представителей и экспертов Сторон в области информационной безопасности; 
      16) обмен информацией по вопросам, связанным с осуществлением сотрудничества по перечисленным в настоящей статье основным направлениям. 
      Стороны или компетентные органы государств Сторон могут по взаимной договоренности определять другие направления сотрудничества. 
2.3 Международные стандарты в сфере защиты информации

 Какие существуют международные стандарты по информационной безопасности?

Международный стандарт безопасности информационных систем ISO 17799

В 1995 г. был принят британский стандарт BS 7799 управления информационной безопасностью организации вне  зависимости от сферы деятельности компании. СБ, IT-отдел, руководство компании начинают работать согласно общему регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO. Основные разделы стандарта ISO 17799 следующие:

• политика безопасности;

• организационные меры по обеспечению безопасности (управление форумами по информационной безопасности, координация вопросов, связанных  с информационной безопасностью, распределение  ответственности за обеспечение  безопасности и т.д.);

• классификация и управление ресурсами (инвентаризация ресурсов, классификация  ресурсов и т.д.);

• безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности  и т.д.);

• физическая безопасность;

• управление коммуникациями и процессами (рабочие процедуры  и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей  данных, передача информации и программного обеспечения и т.д.);

 

• контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.);

• разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.);

• управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность  бизнеса и анализ воздействий, создание и внедрение плана непрерывного ведения бизнеса, тестирование, обеспечение  и переоценка плана непрерывного ведения бизнеса и т.д.);

• соответствие системы основным требованиям (соответствие требованиям  законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и  т.д.).

Что такое OPSEC?

OPSEC – Operation Security – американская концепция системного подхода к обеспечению защиты конфиденциальной информации.

В американском бизнесе существует универсальная концепция системного подхода к информационной безопасности, которая строится на 7 этапах ее реализации.

Первый этап (анализ объекта  защиты) состоит в определении  – что нужно защищать? – и  проводится по следующим направлениям:

• какая информация нуждается в защите;

• наиболее важные (критические) элементы защищаемой информации;

• срок жизни критической информации (время, необходимое конкуренту для реализации добытых сведений)

• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

• классифицируются индикаторы по функциональным зонам компании (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).

Второй этап – осуществляется "выявление угроз". Он происходит по следующим направлениям:

• определяется, кого может заинтересовать защищаемая информация;

• оцениваются методы, используемые конкурентами для получения этой информации;

• оцениваются вероятные каналы утечки информации;

• разрабатывается система мероприятий по пресечению действий конкурента.

Третий этап – анализируется  эффективность принятых и постоянно  действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

Четвертый этап – определение  необходимых мер защиты. На основании  проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности компании.

Пятый этап – руководителями компании рассматриваются представленные предложения по всем необходимым  мерам безопасности и расчет их стоимости  и эффективности.

Шестой этап – реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой этап – осуществление  контроля и доведение до персонала  компании реализуемых мер безопасности.

1.4 Перечень международных стандартов  в сфере защиты информации

№п/п	Обозначение стандарта	Наименование стандарта	Наличие вФондестандартовАО НИТ	Тип носителя
1	СТ РК 34.020-2006	Защита информации. Технические средства защиты информации. Имитаторы излучения. Общие технические требования.	есть	Бумажный
2	СТ РК 34.021-2006	Защита информации. Технические средства защиты информации. Генераторы пространственного  зашумления. Общие технические требования.	есть	Бумажный
3	СТ РК 34.022-2006	Защита информации. Требования к проектированию, установке, наладке, эксплуатации и  обеспечению безопасности информационных систем.	есть	Бумажный
4	СТ РК 34.023-2006	Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности.	есть	Бумажный
5	СТ РК 34.024-2006	Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования.	есть	Бумажный
6	СТ РК 34.025-2006	Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.	есть	Бумажный
7	СТ РК ГОСТ Р 51275-2006	Средства вычислительной техники. Защита от несанкционированного доступа к  информации. Общие технические требования.	есть	Бумажный
8	СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006	Информационная технология. Методы и  средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая  модель	есть	Бумажный
9	СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006	Информационная технология. Методы и  средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.	есть	Бумажный
10	СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006	Информационная технология. Методы и  средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия  к безопасности.	есть	Бумажный, электронный
11	СТ РК ГОСТ Р 50739-2006	Средства вычислительной техники. Защита от несанкционированного доступа к  информации. Общие технические требования.	есть	Бумажный
12	СТ РК ИСО/МЭК 14888-1-2006	Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения	есть	Бумажный
13	СТ РК ИСО/МЭК 14888-2-2006	Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на идентичности.	есть	Бумажный
14	СТ РК ИСО/МЭК 14888-3-2006	Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате.	есть	Бумажный
15	СТ РК ИСО/МЭК 10118-1-2006	Информационная технология. Методы защиты информации Хэш-функции. Часть 1. Общие  положения.	есть	Бумажный
16	СТ РК ИСО/МЭК 10118-2-2006	Информационная технология. Методы защиты информации Хэш-функции. Часть 2. Хэш-функции, использующие n-битовый блок шифрования.	есть	Бумажный
17	СТ РК ИСО/МЭК 10118-3-2006	Информационная технология. Методы защиты информации Хэш-функции. Часть 3. Специализированные Хэш-функции.	есть	Бумажный
18	СТ РК ИСО/МЭК 10118-4-2006	Информационная технология. Методы защиты информации Хэш-функции. Часть 4. Хэш-функции, использующие модульную арифметику	есть	Бумажный
19	СТ РК 1073-2002	Средства криптографической защиты информации. Общие технические требования	есть	Бумажный, электронный
20	СТ РК 1171-2002	Защита информации. Типовая методика контроля эффективности зашиты служебных  помещений акустической разведки по акустическому (речевому) и вибрационному  каналам	есть	Гриф «ДСП», имеется на отдельном  диске в Фонде НД Общества
21	СТ РК 34.013-2002	Информационная технология. Защита информации от утечки по каналу побочных электромагнитных излучений и наводок при ее обработке на средствах вычислительной техники. Общие технические требования	есть	Гриф «ДСП», имеется на отдельном  диске в Фонде НД Общества
22	СТ РК ИСО/МЭК 17799-2006	Информационная технология. Методы обеспечения  защиты. Свод правил по управлению защиты информации	есть	Бумажный
23	СТ РК 34.027-2006	Информационная технология. Классификация  программных средств	есть	Бумажный
24	СТ РК 1696-2007	Средства и системы контроля и  управления доступом. Классификация. Общие  технические требования и методы испытаний.	есть	Бумажный
25	СТ РК1698-2007	Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты	есть	Бумажный
26	СТ РК 1694-2007	Средства защиты телефонных аппаратов  от утечки информации на счет акустоэлектрических  преобразований и высокочастотного навязывания. Общие технические  требования	есть	Бумажный
27	СТ РК 1699-2007	Системы контроля и управления доступом. Общие технические требования	есть	Бумажный
28	СТ РК 1697-2007	Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические  требования	есть	Бумажный
29	СТ РК 1695-2007	Информационная безопасность. Аттестация объектов информатизации и средств  вычислительной техники. Общие требования	есть	Бумажный
30	СТ РК 1700-2007	Техническая защита информации в служебных  помещениях. Общие технические требования	есть	Бумажный
31	СТ РК 1701-2007	Техническая защита информации в средствах  вычислительной техники, автоматизированных информационных системах и сетях от утечки посредством побочных электромагнитных излучений и наводок. Общие технические требования	есть	Бумажный
32	СТ РК ГОСТ Р 50745-2006	Совместимость технических средств  электромагнитная. Системы бесперебойного питания. Устройства подавления сетевых  импульсных помех. Требования и методы испытаний.	есть	Бумажный
33	СТ РК ГОСТ Р 50628-2006	Совместимость технических средств  электромагнитная. Устойчивость машин  электронных персональных к электромагнитным помехам. Требования и методы испытаний	есть	Бумажный
34	СТ РК ГОСТ Р 50922-96	Защита информации. Основные термины  и определения	нет	Нет в наличии
35	СТ РК ГОСТ Р ИСО 7498-1-2006	Информационная технология. Взаимосвязь  открытых систем. Часть 1. Базовая эталонная  модель	есть	Бумажный
36	СТ РК ГОСТ Р ИСО 7498-2-2006	Информационная технология. Взаимосвязь  открытых систем. Часть 2. Архитектура  защиты информации	есть	Бумажный
37	СТ РК ГОСТ Р 50571.22 -2006	Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки  информации	есть	Бумажный
38	СТ РК ГОСТ Р 52292-2007	Технологии информационные. Электронный  обмен информацией. Термины и  определения.	есть	Бумажный
39	СТ РК ГОСТ Р 51188-2007	Защита информации. Испытания программных  средств на наличие компьютерных вирусов. Общие требования	есть	Бумажный
40	СТ РК 10007-2007	Системы менеджмента качества. Менеджмент конфигурации. Основные требования	нет	Нет в наличии
41	СТ РК ИСО/МЭК 18028-4-2007	Технологии информационные. Методы обеспечения  защиты. Защита сети информационных технологий. Часть 4. Защита удаленного доступа	есть	Бумажный
42	СТ РК ИСО/МЭК ТО 15443-1-2007	Технологии информационные. Методы обеспечения  защиты. Структура обеспечения безопасности информационных технологий. Часть 1. Общие  требования	есть	Бумажный
43	СТ РК ИСО/МЭК ТО 15443-2-2007	Технологии информационные. Методы обеспечения  защиты. Структура обеспечения безопасности информационных технологий. Часть 2. Методы обеспечения	есть	Бумажный
44	СТ РК ИСО/МЭК ТО 14516-2007	Технологии информационные. Методы обеспечения  защиты. Использование и управление услугами доверенной третьей стороны. Общие требования	есть	Бумажный
45	СТ РК ГОСТ Р  ИСО/МЭК 12119-2006	Информационная технология. Пакеты программ. Требования к качеству и тестирование.	есть	Бумажный
46	СТ РК ИСО/МЭК 27001-2008	Информационная технология. Методы и  средства обеспечения безопасности. Системы управления информационной безопасности. Требования	есть	Бумажный, электронный