Главная страница
Навигация по странице:

  • 1. Правовое обеспечение информационной безопасности

  • 2. Современные проблемы и основные направления совершенст­вования защиты информации

  • Список литературы

  • Реферат Проблемы защиты информации в современной России. Проблемы защиты информации в современной России. Содержание Введение 2 Правовое обеспечение информационной безопасности 4 Современные проблемы и основные направления совершенствования защиты информации 8 Режим


    Скачать 41.96 Kb.
    НазваниеСодержание Введение 2 Правовое обеспечение информационной безопасности 4 Современные проблемы и основные направления совершенствования защиты информации 8 Режим
    АнкорРеферат Проблемы защиты информации в современной России
    Дата12.11.2021
    Размер41.96 Kb.
    Формат файлаdocx
    Имя файлаПроблемы защиты информации в современной России.docx
    ТипРеферат
    #270254

    Проблемы защиты информации в современной России

    Содержание



    Введение 2

    1. Правовое обеспечение информационной безопасности 4

    2. Современные проблемы и основные направления совершенст­вования защиты информации 8

    2.1. Режим защиты информации 8

    2.2. Правовые способы защиты информации 11

    2.3. Способы защиты информации в Интернете 13

    2.4. Доктрина информационной безопасности РФ 15

    Заключение 20

    Список литературы 22



    Введение


    В последние годы особое внимание уделяется вопросам информационной безопасности, поскольку случаи потери и кражи информации приводят к краху компании или утрате конкурентных преимуществ на рынке. За последние пять лет участились случаи краж интеллектуальной собственности, одновременно корпоративные сети все чаще подвергаются нападениям со стороны недоволь­ных или нелояльных сотрудников внутри организаций. Монопольное владение конкретной информацией предоставляет конкурентные преимущества на рын­ке, однако это в свою очередь должно способствовать повышению внимания к построению систем защиты. Защита информации от кражи, изменения или уничтожения приобрела сейчас первоочередное значение.

    Не менее важной является задача предотвращения последствий или рис­ков от информационной атаки, спланированной и проводимой по разработан­ному сценарию конкурентами. Последствиями подобной атаки могут явиться как прямые потери от коммерчески необоснованного решения, так и затяжные судебные тяжбы для доказательства собственной непричастности или невинов­ности.

    Итак, информационная безопасность становится неотъемлемой частью общей безопасности предприятия, но, несмотря на прогресс в данной области, информационная безопасность понимается под разными углами зрения. Рас­смотрим некоторые из них.

    Сегодня на рынке услуг информационной безопасности существует мно­жество специализированных решений, поэтому часто эти работы поручают специалистам ИТ - подразделений. Эта практика приводит к построению систе­мы информационной безопасности, направленной на достижение целей ИТ – подразделений. В результате бизнес-подразделения утрачивают возможность рационального ведения бизнеса. Мероприятия по обеспечению информацион­ной безопасности часто не принимаются сотрудниками бизнес-подразделений, поскольку они не могут эффективно собирать информацию и обмениваться ею, что тормозит процесс развития компании. Чтобы решить данные вопросы, соз­дание системы информационной безопасности нужно начинать с анализа целей и требований бизнеса.

    Реализовав некоторое техническое решение, можно решить проблему информационной безопасности.

    Проблема информационной безопасности является не только техниче­ской, но и управленческой. Большинство рисков информационной безопасно­сти можно минимизировать с помощью управленческих решений, рассматривая эти риски в качестве операционных, а остальные - с помощью программных и аппаратных средств.

    Цель данной работы - рассмотреть современные проблемы и основные направления совершенствования защиты информации.

    Задачи данной работы – показать исследование опыта деятельности индивидов, государств, мирового сообщества по обеспечению своей безопасности в прошлом и настоящем, выявление закономерностей и принципов построения систем безопасности, сравнительный анализ специфических национальных особенностей внутренней и внешней безопасности различными странами. Основных тенденций эволюции и моделей будущих систем глобальной, региональной и внутригосударственной безопасности, критериев оценки их эффективности.

    1. Правовое обеспечение информационной безопасности


    Каждый человек обладает большим объемом разнообразной информации. По общему правилу обладатель информации вправе самостоятельно опреде­лить, какие из известных ему сведений, в каких объемах, кому и когда предос­тавлять или не предоставлять (п. 4 ст. 29 Конституции РФ). Исключения из это­го правила устанавливаются законодательством. С одной стороны, на получе­ние и разглашение информации определенного содержания могут быть введены ограничения. С другой стороны, законодательством определены виды инфор­мации, которую необходимо предоставлять для ознакомления в обязательном порядке. Иную имеющуюся у лица информацию, использование которой не ре­гулируется законодательством, оно вправе либо разглашать, либо держать в тайне по своему усмотрению. В сохранении в тайне различных сведений заин­тересованы государство, его отдельные органы, общественные объединения и другие структуры, например, коммерческие. Поэтому выделяют несколько ви­дов тайн: государственную, служебную, коммерческую и др.[1]

    В разные эпохи создавались специальные правовые нормы, защищавшие интересы производителей или даже целых государств от возможной утечки секретов. Например, в Древнем Риме предусматривалось наказание в виде штрафа (равного удвоенной величине причиненных убытков) за принуждение чужих рабов к выдаче тайн их хозяина. Уже в античном мире родилась идея вести торговые книги, тайна которых была разновидностью коммерческой тай­ны.

    В мировой практике законодательного регулирования ценной коммерче­ской информации употреблялись различные термины, обозначавшие суть этого понятия и использовавшие ключевое слово "тайна". Под промысловой тайной понимались индивидуальные особенности производства и купечески организо­ванного предприятия, включавшие в себя сведения, составлявшие промышлен­ную, фабричную или торговую тайну. Производственной тайной считалось привнесение чего-либо нового в процесс создания благ; фабричной, не только предмет патента (который первыми ввели Англия, Франция и Германия), но и любая особенность производства, именуемая в наше время "ноу-хау"; торговую тайну составляли специфические знания индивидуального характера, например, знание мест выгодной закупки товаров, списки покупателей и иное.

    В законах Российской империи содержались нормы, предусматривавшие охрану фабричного секрета, торговой тайны и тайны кредитных установлений.

    Налаженная в правовом отношении система защиты производственной и коммерческой тайны в царской России и обеспечивавшие ее законы были от­менены в ноябре 1917 г. в связи с принятием Декрета о рабочем контроле. В СССР отношение к коммерческой тайне на государственном уровне длительное время было негативным и основывалось на представлении о ней как о капита­листическом инструменте, используемом для утаивания части прибыли от на­логообложения и для совершения иных правонарушений.

    Появление коммерческой тайны в современной России связано с разре­шением в конце 80-х годов предпринимательской деятельности, образованием коммерческих структур и, как следствие, конкуренцией между ними. Попытка регламентировать коммерческую тайну на законодательном уровне впервые была сделана в ныне утративших силу Законе СССР от 4 июня 1990 г. N 1529-1 "О предприятиях в СССР" (ст. 33), Законе РСФСР от 25 декабря 1990 г. N 445-1 "О предприятиях и предпринимательской деятельности" (ст. 28), Законе РСФСР от 24 декабря 1990 г. "О собственности в РСФСР" (ст. 2). Позднее был принят Закон РСФСР от 22 марта 1991 г. N 948-1 "О конкуренции и ограниче­нии монополистической деятельности на товарных рынках", установивший, что разглашение коммерческой тайны является одной из форм недобросовестной конкуренции.

    Гражданский кодекс Российской Федерации, принятый в 1994 г., впервые указал на то, какая информация может быть отнесена к коммерческой тайне, и в общем виде установил режим коммерческой тайны.

    В то же время в Российской Федерации долгое время отсутствовал специ­альный закон о коммерческой тайне, несмотря на то, что попытки его принять предпринимались на протяжении почти десятилетнего периода. Первый раз проект закона о коммерческой тайне был внесен в Федеральное Собрание РФ в 1996 г., но не прошел и первого чтения. Вторая редакция была отклонена преж­ним президентом страны в 1999 г. Лишь 9 июля 2004 г. он был принят Государ­ственной Думой, одобрен Советом Федерации 15 июля 2004 г. и подписан Пре­зидентом 29 июля 2004 г.

    Защита информации представляет собой принятие правовых, организаци­онных и технических мер, направленных на:

    1) обеспечение защиты информации от неправомерного доступа, уничто­жения, модифицирования, блокирования, копирования, предоставления, рас­пространения, а также от иных неправомерных действий в отношении такой информации;

    2) соблюдение конфиденциальности информации ограниченного доступа.

    3) реализацию права на доступ к информации.

    Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об ин­формации, информационных технологиях и о защите информации.[2] "

    Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспе­чить:

    1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

    2) своевременное обнаружение фактов несанкционированного доступа к информации;

    3) предупреждение возможности неблагоприятных последствий наруше­ния порядка доступа к информации;

    4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

    5) возможность незамедлительного восстановления информации, моди­фицированной или уничтоженной вследствие несанкционированного доступа к ней;

    6) постоянный контроль за обеспечением уровня защищенности инфор­мации.

    Требования о защите информации, содержащейся в государственных ин­формационных системах, устанавливаются федеральным органом исполни­тельной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техниче­ским разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, ис­пользуемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

    Федеральными законами могут быть установлены ограничения использо­вания определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

    Нарушение требований Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (да­лее Закон) влечет за собой дисциплинарную, гражданско-правовую, админист­ративную или уголовную ответственность в соответствии с законодательством Российской Федерации.[3] "

    Лица, права и законные интересы которых были нарушены в связи с раз­глашением информации ограниченного доступа или иным неправомерным ис­пользованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков компенсации морального вреда, защите чести, достоинства и деловой репута­ции. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденци­альности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

    В случае, если распространение определенной информации ограничива­ется или запрещается федеральными законами, гражданско-правовую ответст­венность за распространение такой информации не несет лицо, оказывающее услуги:

    1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

    2) либо по хранению информации и обеспечению доступа к ней при усло­вии, что это лицо не могло знать о незаконности распространения информации.

    2. Современные проблемы и основные направления совершенст­вования защиты информации

    2.1. Режим защиты информации


    Термин "защита информации", закрепляемый в ст. 16 Закона широко употребляется. Толковый словарь "Бизнес и право" правовой системы "Гарант" под данным понятием подразумевает: "все средства и функции, обеспечиваю­щие доступность, конфиденциальность или целостность информации, или связи, исключая средства и функции, предохраняющие от неисправностей. Она вклю­чает криптографию, крипто анализ, защиту от собственного излучения и защиту компьютера".

    Защищаемая информация - информация, являющаяся предметом собст­венности и подлежащая защите в соответствии с требованиями правовых доку­ментов или требованиями, устанавливаемыми собственником информации.

    Режим защиты информации устанавливается в отношении 3-х групп сведений:

    1) сведения, относящиеся к государственной тайне: режим, устанавливается уполномоченным государственным органом на основании закона РФ от 1: июля 1993 г. N 5485-1 "О государственной тайне":

    2) конфиденциальная информация. Режим защиты информации устанавливается собственником информационных ресурсов или уполномоченным им лицом на основании закона об информации;

    3) персональные данные. Режим защиты информации устанавливается специальным Федеральным законом N 152-ФЗ от 27 июля 2006 года "О персо­нальных данных".

    Контроль за соблюдением требований к защите информации, а также обеспечение органами мер защиты информационной системы, образующих ин­формацию с ограниченным доступом в негосударственных структурах, возло­жены на государственные органы. Собственник информации также имеет право осуществить аналогичный контроль. Законом устанавливается только перечни сведений, которые не могут быть отнесены к конкретному виду информации с ограниченным доступом. Исключение - перечень сведений, составляющих го­сударственную тайну.

    Например, согласно руководящему документу РД-21-01-2006 "Положе­нию о системе защиты информации в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомном) надзору" (утв. приказом Федеральной службы по экологическому, технологи­ческому и атомному надзору от 26 июня 2006 г. N 624) определены цели защи­ты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы за­щиты информации в Федеральной службе по экологическому, технологическо­му и атомному надзору, задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием. Требования Положения яв­ляются обязательными для работников центрального аппарата и территориаль­ных органов Службы, а также находящихся в ее ведении организаций, на кото­рых возлагаются организация, осуществление и контроль мероприятий по за­щите информации. Так, головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатиза­ции и защите информации Федеральной службы по экологическому, техноло­гическому и атомному надзору (далее - МТОИЗИ).

    Основные задачи МТОИЗИ:

    а) обеспечение единого подхода к организации и осуществлению надзора за соблюдением требований федеральных норм и правил при обеспечении за­щиты информации в Службе;

    б) организация и проведение работ по защите информации в компьютер­ных и телекоммуникационных сетях центрального аппарата Службы;

    в) организация и осуществление контроля и надзора за проведением ра­бот по защите информации в локальных вычислительных сетях и информаци­онно-коммуникационной системе Службы[4].

    Основные функции МТОИЗИ:

    а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;

    б) разработка и периодическое уточнение Перечня используемых в Службе сведений конфиденциального характера;

    в) анализ угроз безопасности информации и оценка реальной возможно­сти перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических сред­ствах обработки информации;

    г) предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;

    д) защита носителей информации;

    е) выявление возможных технических каналов утечки информации огра­ниченного доступа и фактов разглашения защищаемой информации;

    ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов, как федерального уровня, так и принятых в Службе, в области защиты информации.

    Систему защиты информации в компьютерных и телекоммуникационных сетях Службы образуют:

    - руководитель Службы;

    - техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы;

    - МТОИЗИ (отделы организации и контроля за защитой информации в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);

    - начальники управлений центрального аппарата Службы;

    - руководители территориальных органов и подведомственных орга­низаций;

    - подразделения (штатные работники) по защите информации терри­ториальных органов и подведомственных организаций;

    - пользователи (потребители) информации.

    Руководитель Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы. Непосредственное руководство работа­ми по защите информации осуществляет руководитель Службы или один из его заместителей.

    МТОИЗИ организует работу по защите информации, а также осуществля­ет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе. МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей ей.

    При этом согласно Положению, в целях предотвращения и нейтрализации угроз безопасности информации должны применяться правовые, аппаратно-программные методы и организационно-технические мероприятия.[5]

    2.2. Правовые способы защиты информации


    Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты ин­формации.

    Аппаратно-программные методы включают:

    а) аппаратные методы защиты:

    - предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;

    - исключение или существенное затруднение несанкционированного дос­тупа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов; устройств измерения индивидуальных характеристик человека (голоса, отпе­чатков) с целью его идентификации;

    - применение устройств для шифрования информации;

    - выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (за­кладных устройств);

    б) программные методы защиты:

    - предотвращение специальных программно-математических воздейст­вий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);

    - идентификацию технических средств (терминалов, устройств группово­го управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;

    - определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);

    - контроль работы технических средств и пользователей;

    - регистрацию работы технических средств и пользователей при обработ­ке информации ограниченного доступа;

    - уничтожение информации в записывающем устройстве после использо­вания;

    - сигнализацию при несанкционированных действиях;

    - вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;

    в) резервное копирование (хранение копий информации на различных но­сителях);

    г) криптографическое шифрование информации.

    Организационно-технические мероприятия предусматривают:

    а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;

    б) подбор и подготовку персонала для обслуживания СВТ и АС;

    в) разработку и утверждение функциональных обязанностей должност­ных лиц, отвечающих за защиту информации;

    г) контроль за действиями персонала в защищенных автоматизированных системах;

    д) создание и обеспечение функционирования систем защиты информа­ции ограниченного доступа;

    е) сертификацию этих систем по требованиям безопасности информации:

    ж) аттестацию СВТ, автоматизированных систем и помещений;

    з) привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии па право проведения работ в области защиты информации;

    и) стандартизацию способов и средств защиты информации;

    к) организацию хранения и использования документов и носителей;

    л) физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;

    м) физические меры защиты (изоляция помещений с СВТ, установка кон­тролируемых зон, пропускной режим, охранная сигнализация).

    Защите также подлежат технические средства, не обрабатывающие ин­формацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации, часофикации и другие.[6]

    2.3. Способы защиты информации в Интернете


    Способы защиты информации в Интернете:

    1) организационные (административные) меры, направленные на разра­ботку и создание информационной системы, на построение адекватной требо­ваниям текущего момента времени политики безопасности. На данную группу мер приходится до 50-60% от всех ресурсов, расходуемых на защиту информа­ции. В качестве примера такого рода мер можно привести разработку л приня­тие правил информационной безопасности на конкретном предприятии;

    2) физические меры защиты направлены на управление доступом физиче­ских лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. На данные меры тратится при мерно 15-20% от всех ресурсов, расходуемых на защиту информации. Наиболее типичным образцом является организация контрольно-пропускного режима па предприятии;

    3) технические (иногда говорят технологические, или аппаратно-программные) меры защиты направлены на обеспечение безопасности непо­средственно на каждом компьютерном рабочем месте, в локальной сети, на серверах, на устройствах, входящих в состав телекоммуникаций. На долю этой группы мер выпадает до 20-25% от всех ресурсов, расходуемых на защиту ин формации. К такого рода мерам можно отнести использование различных анти­вирусов, файерволов и т.д.;

    4) законодательные меры, связанные с разработкой и исполнением зако­нодательных и нормативных актов, направленных на пресечение несанкциони­рованных действий с защищаемой информацией и на защиту прав граждан, общества, государства в информационной сфере. На данные меры тратится примерно 5% от всех ресурсов, расходуемых на защиту информации.

    Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание орга­низаций должности специалиста по компьютерной безопасности (администра­тора по защите информации) либо создание специальных служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отде­ла (службы) в организации, по оценкам зарубежных специалистов, снижает ве­роятность совершения компьютерных преступлений вдвое.[7]

    Кроме того, в обязательном порядке должны быть реализованы следую­щие организационные мероприятия:

    - для всех лиц, имеющих право доступа к служебной и коммерческой тайне, должны быть определены категории доступа;

    - определена административная ответственность за сохранность и санкционированность доступа к информационным ресурсам:

    - налажен периодический системный контроль за качеством защиты ин­формации;

    - проведена классификация информации в соответствии с ее важностью. дифференциация на основе этого мер защиты;

    - организована физическая защита служебной и коммерческой тайны. Помимо организационно-управленческих мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического ха­рактера (аппаратные, программные и комплексные).

    Аппаратные методы предназначены для защиты компьютерной техники от нежелательных физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники беспере­бойного питания, устройства экранирования аппаратуры, шифрозамки и уст­ройства идентификации личности.

    Программные методы защиты предназначаются для непосредственной защиты информации. Для защиты информации при ее передаче обычно исполь­зуют различные методы шифрования данных. Как показывает практика, совре­менные методы шифрования позволяют достаточно надежно скрыть смысл со­общения. Например, в США, в соответствии с директивой Министерства фи­нансов, начиная с 1984 г. все общественные и частные организации были обя­заны внедрить процедуру шифрования коммерческой информации по системе DES (DataEncryptionStandard). Как правило, российские пользователи спра­ведливо не доверяют зарубежным системам, взлом которых стал любимым раз­влечением хакеров. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через не­делю представило в ООН дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло много лет. Разработаны, сертифици­рованы и активно используются десятки отечественных систем шифрования. Ряд из них имеют криптографическую защиту, т.е. теоретически не могут быть взломаны за разумное время (менее десяти лет) даже сотрудниками ФАПСИ и уж тем более любопытствующими хакерами.

    2.4. Доктрина информационной безопасности РФ


    Защита информации осуществляется от:

    - утечки (неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками);

    - несанкционированного воздействия (воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение ин­формации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);

    - непреднамеренного воздействия (воздействия на защищаемую инфор­мацию ошибок ее пользователя, сбоя технических и программных средств ин­формационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничто­жению или сбою функционирования носителя информации);

    - разглашения (несанкционированного доведения защищаемой информа­ции до потребителей, не имеющих права доступа к этой информации);

    - несанкционированного доступа (получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми доку­ментами или собственником, владельцем информации прав или правил доступа к защищаемой информации);

    - разведки (получения защищаемой информации технической, агентурной разведкой).[8]

    В доктрине информационной безопасности РФ защита информационных ресурсов названа в качестве четвертого элемента информационной безопасно­сти РФ.

    Под информационной безопасностью РФ понимается состояние защи­щенности ее национальных интересов в информационной сфере, определяю­щихся совокупностью сбалансированных интересов личности, общества и го­сударства. Информационная безопасность РФ является неотъемлемым элемен­том безопасности РФ в целом.

    Информационная безопасность обеспечивается совокупность общих и специальных методов (способов).

    Виды общих методов обеспечения информационной безопасности: правовые, организационно-технические и экономические.

    Правовые методы включают в себя разработку нормативных правовых актов и нормативных методических документов по вопросам обеспечения ин­формационной безопасности.

    Организационно-техническими методами обеспечения информационной безопасности РФ являются совершенствование системы обеспечения информа­ционной безопасности РФ, сертификация и стандартизация средств и способов защиты информации, лицензирование деятельности в области защиты государ­ственной тайны, предупреждение и пресечение правонарушений в информаци­онной сфере, создание систем и средств предотвращения несанкционированно­го доступа к обрабатываемой информации и др.

    Экономические методы обеспечения информационной безопасности РФ включают в себя: разработку программ обеспечения информационной безопас­ности РФ и определение порядка их финансирования; создание системы стра­хования информационных рисков физических и юридических лиц и др.

    К специальным методам относят методы и средства обеспечения инфор­мационной безопасности в правоохранительной и судебной сферах, такие как: создание защищенной многоуровневой системы объединенных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем; повышение уровня профессиональной и спе­циальной подготовки пользователей информационных систем, разработка сис­темы принятия решений по оперативным действиям (реакциям), связанным с развитием чрезвычайных ситуаций и ходом ликвидации их последствий, разра­ботка эффективной системы мониторинга объектов повышенной опасности и прогнозирование чрезвычайных ситуаций, совершенствование системы инфор­мирования населения об угрозах возникновения чрезвычайных ситуаций, про­гнозирование поведения населения под воздействием ложной или недостовер­ной информации, разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.

    Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникацион­ных системах являются:

    - выявление и учет источников внутренних и внешних угроз. Проведение их мониторинга и классификации

    - разработка и принятие законов и иных правовых актов

    - определение приоритетных направлений предотвращения, отражения. Нейтрализации угроз, минимизации ущерба от их реализации

    - страхование информационных рисков

    - установление стандартов и нормативов в сфере обеспечения информа­ционной безопасности

    - разработка федеральных целевых и ведомственных программ обеспече­ния информационной безопасности, координация работ по их реализации

    - информирование общественности о реальной ситуации в сфере обеспе­чения информационной безопасности;

    - лицензирование деятельности организаций в области отиты информа­ции;

    - аттестация объектов информатизации при проведении работ, связанных с использованием сведений, составляющих государственную тайну:

    - сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техниче­ским каналам систем и средств информатизации и связи:

    - введение территориальных, частотных, энергетических, пространствен­ных и временных ограничений в режимах использования технических средств, подлежащих защите;

    - создание и применение информационных и автоматизированных систем управления в защищенном исполнении.[9]

    Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективно­сти защиты информации являются средствами защиты информации и подлежа; обязательной сертификации, которая проводится в рамках систем сертифика­ции средств защиты информации. Данные отношения по сертификации регули­руются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании).

    Органом по сертификации является юридическое лицо или индивидуаль­ный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации. К функциям (полномочиям) органа, но сертифи­кации относятся:

    - привлечение на договорной основе для проведения исследований (испы­таний) и измерений испытательные лаборатории (центры), аккредитованные в порядке, установленном Правительством Российской Федерации (при этом ор­ганы по сертификации не вправе предоставлять аккредитованным испытатель­ным лабораториям (центрам) сведения о заявителе);

    - контроль за объектами сертификации, если такой контроль предусмот­рен соответствующей схемой обязательной сертификации и договором;

    - ведение реестра выданных данным органом сертификатов соответствия:

    - информирование соответствующих органов государственного контроля (надзора) за соблюдением требований технических регламентов о продукции, поступившей на сертификацию, но не прошедшей ее;

    - приостановление и прекращение действия выданного им сертификата соответствия;

    - обеспечение предоставления заявителям информации о порядке прове­дения обязательной сертификации;

    - определение стоимости работ по сертификации на основе утвержденной Правительством РФ методики определения стоимости таких работ.

    Ведение единого реестра выданных сертификатов соответствия, а также установление порядка передачи сведений о выданных сертификатах соответст­вия в единый реестр выданных сертификатов относятся к компетенции феде­рального органа исполнительной власти по техническому регулированию.

    Порядок ведения данного реестра, порядок предоставления содержащих­ся в нем сведений и порядок оплаты за предоставление содержащихся в реестре сведений устанавливаются Правительством РФ.[10]

    Подтверждение соответствия представляет собой документальное удо­стоверение соответствия продукции или иных объектов, процессов производст­ва, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

    Документ, удостоверяющий соответствие объекта требованиям техниче­ских регламентов, положениям стандартов или условиям договоров, именуется сертификатом соответствия.

    Согласно ст. 25 Закона о техническом регулировании сертификат соот­ветствия включает:

    - наименование и местонахождение заявителя;

    - наименование и местонахождение изготовителя продукции, прошедшей сертификацию;

    - наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;

    - информацию об объекте сертификации, позволяющую идентифициро­вать этот объект;

    - наименование технического регламента, на соответствие требованиям которого проводилась сертификация;

    - информацию о проведенных исследованиях (испытаниях) и измерениях;

    - информацию о документах, представленных заявителем в орган по сер­тификации в качестве доказательств соответствия продукции требованиям тех­нических регламентов;

    - срок действия сертификата соответствия.[11]

    Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сер­тификации определенных видов продукции, а также срок действия сертификата соответствия продукции требованиям технических регламентов, выдаваемою заявителю органом по сертификации, устанавливаются соответствующим техническим регламентом. Орган, осуществляющий обязательную сертификацию, должен быть аккредитован в порядке, установленном Правительством Россий­ской Федерации.

    Исследования (испытания) и измерения продукции при осуществлении обязательной сертификации проводятся аккредитованными испытательными лабораториями (центрами), которые проводят исследования (испытания) и из­мерения продукции в пределах своей области аккредитации на условиях дого­воров с органами по сертификации. Аккредитованная испытательная лаборато­рия (центр) обязана обеспечить достоверность результатов исследований (ис­пытаний) и измерений, результаты которых оформляются соответствующими протоколами. На основании данных протоколов, аккредитованных испытатель­ных лабораторий (центров) орган по сертификации принимает решение о выда­че или об отказе в выдаче сертификата соответствия.

    Заключение


    Развитие научно-технического прогресса в XX в., обусловившее появле­ние научно-технических достижений глобального значения, связано с новыми проблемами, затрагивающими интересы не только отдельных лиц и государств, но и международного сообщества в целом. Появление новых научно-технических объектов как результат извечного и постоянного стремления чело­вечества к познанию окружающего мира относится, несомненно, к прогрессив­ным явлениям, но использование этих объектов может повлечь как позитивные, так и негативные последствия, так как неразрывно связано с рядом этических, политических и правовых проблем ответственности государств и индивидов. Что касается международного права, то в эпоху НТР проблема ответственности приобрела новое звучание, а сам институт ответственности становится инте­гральной частью любого международного правоотношения, зримо пли незримо присутствуя в нем.

    Преступные группировки, конкуренты, а иногда и партнеры заинтересо­ваны в получении информации, составляющей коммерческую тайну. Объектом их интереса могут быть коммерческие переговоры и совещания, деловая и слу­жебная информация, обрабатываемая компьютерной системой фирмы, и т.п. Важнейшим условием обеспечения безопасности является в первую очередь информационная защита, которая складывается из двух направлении:

    1. Сокрытие информации, которое может помочь преступнику в осущест­влении преступных посягательств.

    2. Создание благоприятного имиджа фирмы – распространение сведе­ний, создающих у потенциальных преступников неверное представление о со­стоянии дел фирмы и в конечном итоге способствующих потере интереса к ней.

    Практические рекомендации по нейтрализации и локализации выявлен­ных уязвимостей системы, полученные в результате аналитических исследова­ний, очень помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответствен­ности, в том числе материальной, за ненадлежащее использование, информационных ресурсов фирмы. При определении масштабов материальной ответст­венности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудово­го кодекса РФ.

    Защита информации представляет собой принятие правовых, организаци­онных и технических мер, направленных на:

    1) обеспечение защиты информации от неправомерного доступа, уничто­жения, модифицирования, блокирования, копирования, предоставления, рас­пространения, а также от иных неправомерных действий в отношении такой информации;

    2) соблюдение конфиденциальности информации ограниченного доступа,

    3) реализацию права на доступ к информации.

    Список литературы


    Нормативно-правовые акты

    1. Конституция Российской Федерации. (12 декабря 1993). М., 1993.

    2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

    Специальная литература

    3. Багриновский К.А., Хрусталев Е.Ю. Новые информационные тех­нологии. ЭКО. № 7. 2003.

    4. Башлыков М.А. Актуальные вопросы информационной безопасно­сти// "Финансовая газета. Региональный выпуск", №4, январь 2006.

    5. Бедрань А.В. Согласованная методика проведения аудита информа­ционной безопасности// "Финансовая газета", №6, февраль 2007.

    6. Белов А.Н. Защита коммерческой тайны// "Аудиторские ведомо­сти", №4, апрель 2005.

    7. Богданов А.А. Всеобщая организационная наука (Тектология). - М., Экономика, 2003.

    8. Бриллюэн Л. Наука и теория информации. - М., 2007.

    9. Бриллюэн Л. Научная неопределенность и информация, - МЦ 207.

    10. Васильев Г.Д. Российский рынок информационной безопасности: новые тенденции// "Финансовая газета", №1, январь 2007.

    11. Волков П.В. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации// "Финансовая га­зета", N 34, август 2006.

    12. Громов Г.Р. Роль информационной безопасности в обеспечении эффективного управления современной компанией// "Финансовая газета", №24, июнь 2004.

    13. Громов Г.Р. Национальные информационные ресурсы: проблемы промышленной эксплуатации. - М., 2002.

    14. Даниловский Ф.В. Информационная безопасность банковских сис­тем// "Финансовая газета. Региональный выпуск", №34, август 2006.

    15. Зверева Е.К. Имущественные и исключительные права на информа­ционные продукты, их реализация и защита.// "Право и экономика", 2007, №12.

    16. Кряжков А.В. Информационная безопасность. // Государство и пра­во, №3, 2006.

    17. Майоров СИ. Информационный бизнес: коммерческое распростра­нение и маркетинг. - М., 2006.

    18. Погуляев В.В., Моргунова Е.А. Комментарий к Федеральному за­кону "Об информации, информатизации и защите информации". - М.: ЗАО Юс-тицинформ, 2006.

    19. Поппель Г., Голдстайн Б. Информационная технология - миллион­ные прибыли. - М., 2004.

    20. Саляхов О.Т. Защита программного обеспечения, распространяемо­го на оптических носителях информации. // "Финансовая’ газета", 2004, №44.

    21. Соловьев И.Н. Информационная и правовая составляющие безопас­ности предпринимательской деятельности// "Налоговый вестник", №10, ок­тябрь 2005.

    22. Страссман П. Информация в век электроники. - М., 2004.

    23. Харкевич А.А. Очерки общей теории информации. - М., 2007.

    24. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. М, Армада, 2006.

    [1] Белов А.Н. Защита коммерческой тайны// “Аудиторские ведомости”, №4. апрель 2005., С.25.

    [2] Громов Г.Р. национальные информационные ресурсы: проблемы промышленной эксплуатации. – М., 2002., С.108.

    [3] Саляхов О.Т. Защита программного обеспечения, распространяемого на оптических носителях информации. //” Финансовая газета”, 2004, №44., С.5.

    [4] Васильев Г.Д. российский рынок информационный безопасности: новые тенденции//” Финансовая газета”, №1, январь 2007., С.12.

    [5] Бриллюэн Л. Наука и теория информации. – М., 2007., С.25.

    [6] Даниловский Ф.В. информационная безопасность банковских систем// “Финансовая газета. Региональный выпуск”, №34, август 2006., С.4.

    [7] Погуляев В.В., Моргунова Е.А. Комментарий к Федеральному закону "Об информации, информации и защите информации". - М.: ЗАО Юстицинформ, 2006., С.28.

    [8] Майоров СИ. Информационный бизнес: коммерческое распространение и маркетинг. - М.. 2006.. С. 145.

    [9] Страсман П. Информация в век электроники. - М.. 2004.. С.81.

    [10] Черкасов В.Н. Бизнес и безопасность. Комплексный подход. М., Армада, 2006., С.78.

    [11] Харкевич А.А. Очерки общей теории информации. - М., 2007., С.119.


    написать администратору сайта