инф без. История развития средств и методов защиты информации
Скачать 1.69 Mb.
|
Комплексная система защиты информации на предприятии Основная идея комплексного принципа заключается в том, что: Должны быть защищены все объекты предприятия (объекты информатизации), на которых ведется обработка информации. Должен использоваться арсенал методов и средств всех видов защиты: правовой, организационной, технической, криптографической, физической в их оптимальном сочетании, обеспечивающем соотношение: «цена системы защиты»/»эффективность системы защиты». Основными показателями, определяющими состав и структуру комплексной системы защиты информации на предприятии являются: Количество (объемы) и ценность используемой и обрабатываемой на предприятии информации и информационных ресурсов; Состав, объекты и степень конфиденциальности защищаемой информации; Количество и технологические особенности технических средств обработки, хранения, передачи информации (средств автоматизации и т.п.); Количество и уровень подготовки персонала, связанного с использованием, обработкой, хранением, передачей информации вообще и ценной в частности; Структура и территориальное расположение предприятия; Режим функционирования предприятия; Конструктивные особенности (компактные, территориально-распределенные, размещенные совместно с другими предприятиями); Количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ); Угрозы безопасности всем видам защищаемой информации и объектам информатизации. Таким образом, комплексная система защиты информации на предприятии (КСЗИП) – СЗИ, реализующая правовой, организационный, технической, физической, криптографической (при необходимости) виды защиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информатизации предприятия. Структура КСЗИП: Подсистема управления КСЗИП; Подсистема защиты от физического НСД; Подсистема защиты от НСД в АС и единой информационно-телекоммуникационной системе (ИТКС); Подсистема защиты от вредоносных программ; Подсистема защиты от утечки по техническим каналам; Подсистема противодействия техническим разведкам ПДТР. Подсистема управления КСЗИП предназначена для управления процессами защиты информации на основе законодательства и регламентации правил и порядка доступа к защищаемой информации и контроля всех процессов со стороны организации и службы защиты информации. Она разделяется на: Подсистему нормативно-правовых и методических документов; Отдел (служба, сектор) защиты информации (или исполнители); Руководство организации и руководители подразделений, в которых защищается информация; Экспертные комиссии и советы по безопасности. Подсистема защиты от несанкционированного физического доступа предназначена для контроля пребывания на территории и объектах информатизации персонала организации и предотвращения посторонних лиц, а также для сигнализации и извещения о случаях несанкционированного проникновения на территорию и охраняемые объекты информатизации. Она является одновременно подсистемой системы безопасности организации. Данная подсистема определяет работу подсистемы контроля и управления доступом на территорию и в помещении (подразделения охраны, технические средства контроля и управления доступом на территорию и в помещении), подсистему охранной (и пожарной) сигнализации, подсистему видеонаблюдения за территорией и помещениями, средства физической укрепленности. Подсистема защиты от НСД в АС и единой информационно-телекоммуникационной системе (ИТКС) является самостоятельной системой и предназначена для защиты конфиденциальной (секретной) информации от несанкционированного доступа в АС и ИТКС организации, а также для обеспечения целостности информации и доступности для уполномоченных пользователей. Требованиями к уровням защищенности АС в Руководящих документах ФСТЭК СЗИ должно содержать подсистему управления доступом, подсистему регистрации и учета, криптографическую подсистему, подсистему обеспечения целостности; требованием к уровням защищенности межсетевых экранов в Руководящих документах ФСТЭК – подсистему безопасности межсетевого взаимодействия и удаленного доступа (при взаимодействии АС через сеть). Подсистема защиты от вредоносных программ предназначена для защиты АС, функционирующих на основе персональных компьютеров и вычислительных сетей от НСВ с применением компьютерных вирусов и других видов вредоносных программ. Основными инструментами для реализации выступают средства защиты персональных компьютеров от вредоносных программ, сетевые средства защиты от вредоносных программ. Подсистема защиты от утечки по техническим каналам предназначена для предотвращения утечки по конфиденциальной (секретной) информации по техническим каналам и незаконного получения ее третьими лицами (разведками). Объединяет: средства защиты от утечки ПЭМИН, средства защиты от перехвата по каналам связи, средства защиты от утечки по оптическому каналу, средства защиты от утечки по акустическому каналу, средства защиты от утечки по материально-вещественному каналу. Подсистема противодействия техническим разведкам ПДТР предназначена для скрытия объектов защиты, его отдельных характеристик, свойств, навязывания разведкам ложного представления о состоянии, возможностях или предназначении защищаемого объекта. Скрытие осуществляется путем проведения технических и организационных мероприятий. требования по ПДТР определяются нормативными и методическими документами федерального органа исполнительной власти уполномоченного в области технической защиты информации и противодействия техническим разведкам. Одним из важных требований является требование разработки и введение в действие на предприятии Руководства по технической защите информации и противодействию техническим разведкам. Защита информации от утечки по техническим каналам в этом случае является составляющей единой подсистемы ТЗИ и ПДТР. Правовые вопросы в области информационных технологий и интеллектуальной собственности Целью правового регулирования отношений, связанных с информационными технологиями, является создание эффективной правовой основы для реализации прав граждан, защиты общественных и государственных интересов в указанной сфере, а также для стимулирования использования новейших информационных технологий при решении задач социально-экономического развития и повышения эффективности государственного управления. Достижение указанной цели требует координации и согласованности правотворческой деятельности органов власти, её соответствия государственной политике Российской Федерации в сфере развития и использования информационных технологий. Правовое обеспечение государственной политики в сфере ИТ должно осуществляться по следующим направлениям: принятие новых законодательных и иных нормативных правовых актов, заполняющих пробелы в регулировании; внесение изменений и дополнений в действующие законодательные и иные нормативные правовые акты в целях их адаптации к требованиям современного развития сферы ИТ; участие в выработке международно-правовых документов (включая межгосударственные соглашения) в сфере информационных технологий. Принципы правового регулирования в сфере ИТ определяются положениями Конституции Российской Федерации (ст. 29) о праве каждого на свободу поиска, получения, передачи, производства и распространения информации любым законным способом; особенностями правовых отношений, связанных с информацией как отдельным объектом гражданских прав (ст.128 Гражданского кодекса Российской Федерации); государственной политикой, направленной на приоритетное развитие информационных технологий в процессах модернизации экономики и повышения эффективности государственного управления; необходимостью обеспечения информационной безопасности, защиты интеллектуальной собственности и предотвращения правонарушений, совершаемых как в сфере ИТ, так и с их использованием в других сферах. Важнейшими общими принципами развития законодательства в сфере ИТ являются верховенство закона, а также системность и согласованность правовых норм. Это означает как обязательность точного и безусловного исполнения норм законодательства всеми участниками информационных правоотношений, так и необходимость своевременной кодификации и актуализации законодательства, принятия новых правовых актов с учётом анализа действующих нормативных правил и их взаимного согласования. Наряду с системной целостностью законодательства, его структурной упорядоченностью необходимо учитывать устойчивость (стабильность) регулирования, исключающую поспешные и малообоснованные изменения в действующем законодательстве. Принципом общего характера является также последовательная гармонизация правового регулирования, обеспечение соответствия российского законодательства общемировой практике регулирования соответствующих правоотношений. К принципам правового регулирования, специфическим для сферы ИТ, относятся презумпция открытости информации (доступ к которой может быть ограничен лишь в соответствии с федеральным законом); обеспечение достоверности, сохранности и эффективного использования информации, являющейся объектом правовых отношений; технологическая нейтральность. Последний из перечисленных принципов подразумевает отказ от законодательного закрепления использования отдельных технологических решений и от создания каких-либо нормативных запретов для развития и (или) применения новых технологий. Соответствие нормативных правовых актов в сфере ИТ указанным принципам является одним из важнейших факторов эффективности применения соответствующих правовых норм. Понятие права интеллектуальной собственности Под интеллектуальной собственностью по действующему законодательству понимается исключительное право гражданина или юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации юридического лица, продукции и выполняемых работ или услуг (фирменное наименование, товарный знак, знак обслуживания и т.п.). Использование третьими лицами таких результатов интеллектуальной деятельности и средств индивидуализации, которые являются объектами исключительных прав, возможно только с согласия правообладателя. Таким образом, права на объекты интеллектуальной собственности являются исключительными правами в отношении третьих лиц, что означает, что только правообладатель, являющийся собственником прав на конкретный объект интеллектуальной собственности, вправе его использовать по своему усмотрению, запрещая такие действия всем третьим лицам без разрешения. Такое разрешение может быть дано в форме лицензионного договора. Нарушение прав интеллектуальной собственности Любые формы несанкционированного использования объектов интеллектуальной собственности признаются нарушением прав правообладателя, а любое юридическое или физическое лицо, несанкционированно использующее правоохраняемый объект интеллектуальной собственности, является нарушителем таких прав. Такое нарушение по требованию правообладателя должно быть прекращено, а лицо, совершившее противоправное действие, обязано возместить ему причиненные убытки. Возникшие споры рассматриваются в судебном порядке. К ним относятся следующие споры: об авторстве на объект ИС; об установлении патентообладателя (правообладателя); о нарушении исключительного права на использование охраняемого объекта ИС и других имущественных прав патентообладателя (правообладателя); о заключении и исполнении лицензионных договоров на использование охраняемого объекта ИС; о праве преждепользования; о выплате работодателем вознаграждения работнику - автору; о выплате компенсаций, предусмотренных Патентным Законом; другие споры, связанные с охраной прав на объект ИС. К противоправным действиям, влекущим за собой административную ответственность, относится недобросовестная конкуренция, формами которой в отношении объектов интеллектуальной собственности являются: продажа товаров с незаконным использованием результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации юридического лица, продукции, работ и услуг (фирменное наименование, товарный знак, знак обслуживания и т.п.); получение, использование, разглашение научно-технической, производственной или торговой информации, в том числе коммерческой тайны, без согласия ее владельца. За наиболее общественно опасные правонарушения предусмотрена уголовная ответственность. К ним относятся: незаконное использование объектов авторского права, товарных знаков, изобретений, полезных моделей, промышленных образцов, разглашение сущности последних до официальной публикации сведений о них без согласия автора или заявителя; незаконный экспорт технологий, научно-технической информации и услуг, используемых при создании оружия массового поражения, вооружения и военной техники. Территория и сроки действия прав на интеллектуальную собственность Права на объекты интеллектуальной собственности ограничены территорией государства, выдавшего охранный документ или регламентировавшего другие формы охраны, и носят срочный характер. Так для объектов промышленной собственности законодательством РФ установлены следующие сроки действия охранных документов: патент на изобретение - 20 лет; свидетельство на полезную модель - 5 лет; патент на промышленный образец - 10 лет; свидетельство на товарный знак - 10 лет с даты подачи соответствующей заявки в Роспатент; патент на селекционное достижение -30 лет с даты регистрации; авторское право на произведение науки, литературы и искусства, включая программы для ЭВМ и базы данных - в течение всей жизни автора и 50 лет после его смерти. Объекты интеллектуальной собственности Объектами интеллектуальной собственности являются: изобретения, полезные модели и промышленные образцы; товарные знаки, знаки обслуживания, наименования мест происхождения товаров; программы для ЭВМ и базы данных; топологии интегральных микросхем; секреты производства (ноу-хау); селекционные достижения; произведения науки, литературы и искусства. Изобретением является неизвестное ранее знание о том, как решить (удовлетворить) определенную общественную (утилитарную) проблему (потребность). Изобретению предоставляется правовая охрана, если оно является новым, имеет изобретательский уровень и промышленно применимо. К полезным моделям относится конструктивное выполнение средств производства и предметов потребления, а также их составных частей. Полезной модели предоставляется правовая охрана, если она является новой и промышленно применимой. Промышленным образцом является художественно-конструкторское решение изделия, определяющее его внешний вид. Промышленному образцу предоставляется правовая охрана, если он является новым, оригинальным и промышленно применимым. Товарные знаки и знаки обслуживания - это обозначения, способные отличать соответственно товары и услуги одних юридических или физических лиц от однородных товаров и услуг других юридических или физических лиц. Наименование места происхождения товара - это название страны, населенного пункта, местности или другого географического объекта, используемое для обозначения товара, особые свойства которого исключительно или главным образом определяются характерными для данного географического объекта природными условиями или людскими факторами либо природными условиями и людскими факторами одновременно. Под программой для ЭВМ действующее законодательство понимает объективную форму представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, а также подготовительные материалы, полученные в ходе ее разработки, и порождаемые программой аудиовизуальные отображения. База данных - это объективная форма представления и организации совокупности данных (например, статей, расчетов) систематизированных таким образом, чтобы они могли быть найдены и обработаны с помощью ЭВМ. Топологией интегральной микросхемы является зафиксированное на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы и связей между ними. Под секретами производства (ноу-хау) следует понимать не относящийся к государственным секретам особый вид информации, составляющий служебную или коммерческую тайну, при условии, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней отсутствует свободный доступ на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. К селекционным достижениям относят сорта растений и породы животных. К произведениям науки, литературы и искусства относятся все охраняемые авторским правом результаты творческой деятельности, обнародованные и необнародованные, но выраженные в какой-либо объективной форме, независимо от назначения и достоинства произведения. В отношении этих объектов правообладатель должен осуществлять комплекс необходимых и достаточных действий по их правовой охраны и коммерческой реализации. Правовая охрана объектов интеллектуальной собственности Для возникновения исключительных прав на объект интеллектуальной собственности правообладатель должен в установленном порядке обеспечить их правовую охрану. Правовая охрана объектов промышленной собственности осуществляется в рамках российской и других национальных (государственных), а также международных (надгосударственных) патентных систем, которые выдают от имени государства или группы государств охранный документ - патент, который обеспечивает патентообладателю исключительное (монопольное) право на использование объекта промышленной собственности, запрещая всем третьим лицам их его использование в коммерческих целях без разрешения патентообладателя. Являясь одновременно правовым, техническим и информационным документом, патент выступает не только в качестве формы правовой охраны от несанкционированного использования, но и своеобразным экономическим стимулом для инвестиций в научные исследования и промышленность. Под правовой охраной объектов интеллектуальной собственности следует понимать деятельность правообладателя по получению исключительных прав на эти объекты, которые удостоверяются охранными документами (патенты на изобретения, промышленные образцы и селекционные достижения, свидетельства на полезные модели и товарные знаки), документами о регистрации (свидетельства об официальной регистрации программ для ЭВМ, баз данных и топологий интегральных микросхем), а также фактами создания произведений науки, литературы и искусства, представленных в какой-либо объективной форме (книги, статьи, диссертации, рукописи, рисунки, чертежи, видео- и звукозаписи и т.п.). Правовая охрана объектов интеллектуальной собственности является одной из важных функций, которая предполагает выявление коммерчески значимых объектов, созданных правообладателем; подготовку, оформление и подачу в российское, иностранное или международное патентные ведомства заявлений на патентование и регистрацию объектов интеллектуальной собственности; совершение юридически значимых действий, направленных на получение охранных документов; поддержание их в силе, а также обеспечение охраны произведений науки, литературы и искусства. Наиболее коммерчески значимыми объектами правовой охраны являются изобретения, создаваемые, как правило, в порядке выполнения служебных обязанностей или с использованием материальных, финансовых или иных ресурсов правообладателя. Правовую охрану может получить только патентоспособное изобретение, то есть изобретение, которое является новым, имеет изобретательский уровень и промышленно применимо. Закон не признает патентоспособными изобретениями научные, архитектурные, планировочные, дизайнерские и селекционные достижения, которые, как правило, не имеют технических решений и относятся к научным теориям и математическим методам; методам организации и управления хозяйством; методам выполнения умственных операций и т.п. Правовая охрана таких объектов интеллектуальной собственности как изобретения, полезные модели и промышленные образцы возможна лишь при условии, если информация об их сущности не стала общедоступной, то есть не была опубликована или иным образом раскрыта для неопределенного круга лиц. В случае раскрытия сведений о сущности названных объектов, заявки на них должны быть поданы в патентное ведомство не позднее 6 месяцев с даты раскрытия информации. При обеспечении правовой охраны следует учитывать, что сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральным законом (коммерческая тайна), относятся к сведениям конфиденциального характера. |