Защита информации

Защита информации

11

Защита информации и информационная безопасность

Содержание

• Введение
• Лекция 1. Нормативно-правовые акты в области информационной деятельности и деятельности по защите информации
• Лекция 2. Правовое обеспечение защиты гостайны. Закон "О государственной тайне"
• Лекция 3. Правовое обеспечение защиты конфиденциальной информации
• Лекция 4. Нормативно-правовые акты по защите компьютерной информации. Предупреждение нарушений норм защиты информации
• Лекция 5. Задачи систем обеспечения безопасности информации в автоматизированных системах
• Лекция 6. Построение систем защиты информации от НСД
• Лекция 7. Организация работ по защите информации, обрабатываемой техническими средствами
• Лекция 8. Комплекс технических средств, программного обеспечения, технологического процесса обработки информации при использовании системы электронного документооборота с ОПФР
• Список рекомендуемой литературы

Введение

Современный этап развития общества характеризуется возрастающей ролью его информационной сферы, представляющей собой совокупность информационных ресурсов, информационной инфраструктуры, системы формирования, распространения, использования информации и регулирования возникающих при этом общественных отношений.

Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации.

Под информационной безопасностью Российской Федерации понимается состояние защищенности жизненно важных интересов граждан, общества и государства в информационной сфере.

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.

Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы. Увеличивается зависимость объектов этой сферы от полноты и достоверности используемой ими информации, своевременности ее получения, защищенности сведений, составляющих коммерческую тайну.

Курс "Защита информации и информационная безопасность" введен, чтобы показать будущим социологам систему правоотношений, возникающих в области обработки информации, ознакомить с действующими нормативно-правовыми актами по защите информации, изучить содержания основных законов, стандартов, подзаконных актов по защите информации, построение систем защиты информации.

Лекция 1. Нормативно-правовые акты в области информационной деятельности и деятельности по защите информации

Вопросы:

1. Правовые основы обеспечения информационной безопасности

личности, общества и государства. Государственная политика в области обеспечения национальной безопасности. Роль и место информационной безопасности в системе национальной безопасности.

2. Конституционные основы обеспечения безопасности. Законы РФ о безопасности личности и государства, о праве граждан на информацию.

3. Виды нормативно-правовых актов. Иерархия нормативно-правовых актов в области ЗИ

1.

Государственная политика в области обеспечения безопасности личности, общества и государства от внешних и внутренних угроз с учетом имеющихся ресурсов и возможностей сформулирована в Концепции национальной безопасности, утвержденной 17.12.1997 Президентом РФ.

В Концепции сформулированы важнейшие направления и принципы государственной политики.

IV. Обеспечение национальной безопасности Российской Федерации

Основными направлениями деятельности государства и общества по обеспечению национальной безопасности Российской Федерации являются:

в частности, определение критериев национальной безопасности и их пороговых значений, выработка комплекса мер и механизмов обеспечения национальной безопасности в сферах экономики, внешней и внутренней политики, общественной безопасности и правопорядка, обороны, в информационной и духовной сферах;

Одной из важнейших задач обеспечения национальной безопасности Российской Федерации является:

укрепление безопасности государства в оборонной и информационной сферах;

Основными принципами обеспечения национальной безопасности Российской Федерации являются:

единство, взаимосвязь и сбалансированность всех видов безопасности, изменение их приоритетности в зависимости от ситуации; приоритетность политических, экономических, информационных мер обеспечения национальной безопасности;

В современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности Российской Федерации в информационной сфере.

Роль и место информационной безопасности в системе национальной безопасности Российской Федерации.

Современный этап развития общества характеризуется возрастающей ролью его информационной сферы, представляющей собой совокупность информационных ресурсов, информационной инфраструктуры, системы формирования, распространения, использования информации и регулирования возникающих при этом общественных отношений.

Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации.

Под информационной безопасностью Российской Федерации понимается состояние защищенности жизненно важных интересов граждан, общества и государства в информационной сфере.

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.

Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы. Увеличивается зависимость объектов этой сферы от полноты и достоверности используемой ими информации, своевременности ее получения, защищенности сведений, составляющих коммерческую тайну.

Обороноспособность и безопасность государства находятся в прямой зависимости от качества добываемой информации, уровня информационных технологий, защищенности систем обработки информации и связи, используемых органами разведки, контрразведки, радиоэлектронной борьбы, управления войсками и оружием.

Являясь самостоятельной составляющей национальной безопасности, информационная безопасность, в то же время, оказывает непосредственное влияние на защищенность интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества.

2. Конституционные основы обеспечения безопасности. Законы РФ о безопасности личности и государства, о праве граждан на информацию.

Конституция РФ.

Фундаментальный конституционный принцип - это свобода информации. В статье 29 Конституции РФ закреплены свобода мысли и слова, свобода массовой информации. Право личности на доступ к информационным ресурсам общества и государства изложено в пунктах 3 и 4 статьи 29 следующим образом: "Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом".

В конституции также определены некоторые конкретные источники информации, гарантируемые государством. Так, в статье 33 предусмотрено право граждан обращаться лично, а также направлять коллективные обращения в государственные органы и органы местного самоуправления. В пункте 2 статьи 24 Конституции органам государственной власти, органам местного самоуправления и их должностным лицам вменено в обязанность обеспечивать каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы (если иное не предусмотрено законом). Тем самым государство обеспечивает определенную гарантию доступа каждого гражданина к жизненно важной для него информации. В статье 15 указывается, что "законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения".

В статье 42 закреплено право каждого на достоверную информацию о состоянии окружающей среды.

Наряду с декларацией права на доступ к информации и гарантиями возможности доступа к информации в Конституции сформулированы некоторые ограничения, касающиеся распространения и использования информации. Общепринятой нормой права, зафиксированной в международных соглашениях, является ограничение информационных прав и свобод, если они используются в целях: насильственного изменения конституционного строя, разжигания расовой, национальной и религиозной ненависти, пропаганды насилия и войны, нарушения неприкосновенности частной жизни, нарушения тайны переписки, телефонных переговоров, телеграфных и иных сообщений. В международных соглашениях, регламентирующих права и свободы, устанавливается. что право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, телеграфных и иных сообщений может быть также ограничено только в соответствии с законом на основании судебного решения.

Дополнительно Конституция РФ предусматривает возможность ограничения прав и свобод с указанием пределов и сроков их действия в условиях чрезвычайного положения в соответствии с федеральным законом.

Уголовный кодекс РФ

Статья 137. Нарушение неприкосновенности частной жизни;

Статья138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;

В более узкой области ИП - правовой защите информации, основополагающим (базовым) законом в этой области - Законом "Об информации, информационных технологиях и о защите информации" вводятся следующие 4 правовые нормы, устанавливающие правовой режим информационных ресурсов РФ (ст.5 Закона):

порядок документирования информации;

право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

категорию информации по уровню доступа к ней;

порядок правовой защиты информации.

Этим же законом (ст.2) вводится определение "документированная информация" - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Информация, в зависимости от порядка ее предоставления или распространения, подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

2. Законодательное определение понятий информация и защищаемая информация. Структура информационных ресурсов по праву собственности

Базовый закон в области информатизации и ЗИ - "Об информации, информационных технологиях и о защите информации" (149-ФЗ от 27.07.2006) определяет понятие информация как сведения (сообщения, данные) независимо от формы их представления (ст.2)

Статья 16 Закона гласит: "Обладатель информации, оператор информационной системы в случаях, установленных законодательством, обязаны обеспечить: … предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите в составе государственного имущества.

Информационные ресурсы физических и юридических лиц, созданные или приобретенные на законных основаниях за счет средств собственных бюджетов, являются их собственностью, учитываются на праве материального имущества и могут быть переданы на возмездной или безвозмездной основе другим физическим и юридическим лицам или государству на праве собственности, владения или пользования.

3. Виды нормативно-правовых актов

Иерархия нормативно-правовых актов в области ЗИ

Нормативно-правовой акт - письменный документ компетентного органа государственной власти, которым устанавливаются, изменяются или отменяются нормы права, содержащие правила общего характера. Является основным источником права.

Все нормативно-правовые акты связаны между собой, располагаются в

определенной системе, подчинены друг другу или соотносятся друг с другом.

Законодательные акты - нормативно-правовые акты, обладающие высшей юридической силой, принятые органом законодательной власти или референдумом в установленном Конституцией порядке. По значимости содержащихся в них норм делятся на конституционные и текущие (обыкновенные).

Особой разновидностью текущих законов являются органические (кодифицированные) законы и чрезвычайные законы.

Подзаконные нормативно-правовые акты - правовые акты, изданные в пределах компетенции исполнительным органом госвласти, имеющие более низкую юридическую силу, чем законы. К ним относятся указы Президента, постановления и распоряжения Правительства, акты министерств, госкомитетов и др. органов исполнительной власти, а также постановления палат Федерального Собрания РФ, решения судов.

Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления, тяжесть деяния, меру ответственности за его совершение.

Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующих гос. ведомств и обязательны для выполнения всеми госслужащими соответствующих структур.

Региональные законодательные акты регламентируют жизнедеятельность в рамках соответствующего региона, являются обязательными для гос. органов, физических и юридических лиц, действующих на соответствующей территории субъекта федерации.

Как же ориентироваться в мире законодательства в области защиты информации?

Все существующее многообразие юридических документов можно структурировать по их назначению в виде таблицы:

Законодательные акты определяют понятия, структуру, порядок деятельности, требования, права и обязанности субъектов деятельности и являются обязательными для безусловного выполнения гражданами, организациями независимо от формы собственности и ведомственной подчиненности, органами государственной власти и управления на всей территории государства.

Базовые законы непосредственно касаются вопросов защиты информации, остальные лишь частично или косвенно касаются этих вопросов, регламентируя деятельность в связанных с ними смежных областях.

Базовыми в области защиты информации являются такие законы РФ как "О государственной тайне" и "Об информации, информатизации и защите информации".

Законодательные акты о режимах отдельных видов информации представлены более чем тридцатью законами такими как "О банках и банковской деятельности", "О федеральных органах правительственной связи", "Об оперативно-розыскной деятельности", "Об органах федеральной службы безопасности в РФ", "О геодезии и картографии" и др.

Примерами законодательных актов об отдельных видах информационного обеспечения могут служить законы "О рекламе", ""О почтовой связи", "О средствах массовой информации", "О связи" и др.

Примером законодательных актов об информационном обмене является федеральный закон "Об участии в международном информационном обмене".

Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления, тяжесть деяния, меру ответственности за его совершение и являются обязательными для выполнения государственными органами охраны правопорядка и судебными органами.

Правовыми актами в области защиты информации являются Гражданский кодекс РФ ч.1, Уголовный кодекс РФ, Кодекс законов о труде РФ.

Подзаконные акты определяют понятия, структуру государственных органов, порядок и механизмы их деятельности, вводят в действия положения о них и их деятельности, регламентируют процессы организации жизнедеятельности государства и являются обязательными для безусловного выполнения всеми государственными учреждениями, а также физическими и юридическими лицами во взаимоотношениях с ними. За нарушение подзаконного акта уголовной ответственности не возникает и могут быть применены только меры административной ответственности: ограничение деятельности физического или юридического лица, штрафные санкции.

Примерами подзаконных актов являются указы президента РФ такие как "Об утверждении перечня сведений, отнесенных к государственной тайне", "О перечне сведений конфиденциального характера" или постановления правительства РФ "Об Утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности", "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и др.

Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующих государственных ведомств и обязательны для выполнения всеми государственными служащими соответствующих структур. Ответственность за нарушение ведомственных актов распространяется на государственных служащих соответствующих ведомств, физических и юридических лиц, получивших право осуществления деятельности в области, подконтрольной ведомству и носит административный (прекращение деятельности, административный штраф и т.д.) и дисциплинарный характер, а в случае причинения ущерба - гражданскую ответственность в судебном порядке.

4. Базовые законодательные акты в области ИД и ЗИ. Законодательные акты об отдельных видах информации и информационного обеспечения. Подзаконные акты в области ЗИ. ГОСТы по ЗИ

Закон "Об информации, информационных технологиях и о защите информации". (27 июля 2006 г. N 149-ФЗ).

Данный закон, называемый авторами "базовым", призван был положить начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения.

В ст.1 определена сфера регулирования правоотношений. Это отношения, возникающие при:

формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

создании и использовании информационных технологий и средств их обеспечения;

защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Среди объектов регулирование центральное место занимают (ст.2):

документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин;

средства вычислительной техники и связи; словари, тезаурусы и классификаторы;

инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Комментарии

Комментарий к ст. N 5

Для признания электронной цифровой подписи необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования. В п.4 ст.5. предусмотрено обязательное лицензирование деятельности, связанной с реализацией права удостоверять идентичность электронно-цифровой подписи. Еще предстоит разработка актов, регулирующих единый порядок лицензирования и сертификации в этой области.

Комментарий к ст. N19

Закон решает вопрос повышения качества, надежности средств защиты информации от несанкционированного доступа, а также ответственности организаций, производящих такие средства, устанавливая лицензирование такой деятельности: организации, разрабатывающие и производящие такие средства, должны получить лицензию на этот вид деятельности (п.3 ст. 19).

Организации, выполняющие работы в области обработки персональных данных, также должны получать лицензию на такую деятельность. Это направлено на реализацию конституционных гарантий прав граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (п.1 ст.23 Конституция РФ). Лицензирование такой деятельности дает возможность ее контроля компетентными органами и создает дополнительные условия для защиты персональных данных как информации конфиденциальной.

Создание средств защиты информации подлежит лицензированию в соответствии с Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны Ведение лицензионной деятельности в данной области поручено Федеральному агентству правительственной связи и информации при президенте РФ и государственной технической комиссии при Президенте РФ.

Комментарий к ст. N22

Согласно п.2 ст.22, владелец информации при определении уровня ее защиты обязан руководствоваться законодательством РФ. Он имеет возможность пользоваться средствами специализированных органов в области информационной безопасности: ФАПСИ, Государственной технической комиссии РФ. Вместе с тем защита документированной информации не должна наносить ущерба ее собственнику и пользователям. Таким образом, самостоятельность владельца и собственника в данном случае также находится под контролем Закона.

При обработке информации всегда существует угроза нанесения ущерба ее владельцу. Для снижения риска Закон предписывает использовать механизм сертификации информационных систем и средств защиты информации (см. ст. 19) . при этом ответственность за возникающий риск берет на себя орган сертификации. Эта ответственность может быть реализована в форме страхования или прямого возмещения понесенного ущерба. В том случае, если используются несертифицированные информационные системы или средства защиты, то риск лежит на собственнике (владельце) этих систем и средств.

Пользователь, получивший информацию из несертифицированных систем и знающий об этом, берет риск на себя. Однако владелец системы обязан предупредить пользователя об отсутствии у него сертификата.

(Комитет при президенте РФ по политике информатизации, Институт государства и права Российской академии наук, Научно-технический центр "Информсистема". Федеральный закон "Об информации, информатизации и защите информации". Комментарий. Москва 1996г)

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ОРГАНАХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ.

Принят Государственной Думой 22 февраля 1995 года

Настоящий Федеральный закон определяет назначение, правовые основы, принципы, направления деятельности, полномочия, силы и средства органов федеральной службы безопасности, а также порядок контроля и надзора за их деятельностью.

ЗАКОН

О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ

(в ред. Указа Президента РФ от 24.12.93 N 2288)

Настоящий Закон определяет назначение, правовую основу, принципы организации и основные направления деятельности, систему, обязанности и права, силы и средства федеральных органов правительственной связи и информации, а также виды и порядок контроля и надзора за их деятельностью.

ФЕДЕРАЛЬНЫЙ ЗАКОН

ОБ УЧАСТИИ В МЕЖДУНАРОДНОМ ИНФОРМАЦИОННОМ ОБМЕНЕ

Принят Государственной Думой 5 июня 1996 года

Статья 1. Цели и сфера действия настоящего Федерального закона

1. Цели настоящего Федерального закона - создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов Российской Федерации, субъектов Российской Федерации и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

2. Настоящий Федеральный закон не затрагивает отношений, регулируемых Законом Российской Федерации "Об авторском праве и смежных правах".

Международный обмен конфиденциальной информацией, массовой информацией осуществляется в порядке, устанавливаемом настоящим Федеральным законом, другими федеральными законами и иными нормативными правовыми актами.

Закон "Об обязательном экземпляре документов" (от 29.12.94 г. N77 - ФЗ).

Согласно ст.5, в числе документов, входящих в состав обязательного бесплатного экземпляра и обязательного платного экземпляра, указаны "электронные издания, включающие программы для ЭВМ и базы данных или представляющие собой программы для ЭВМ и базы данных".

В ст.13 устанавливается порядок доставки обязательного бесплатного экземпляра электронных изданий.

В связи с неточностью формулировок используемых терминов возникают проблемы как в понимании закона, так и в его применении. Термин "электронные издания" в соответствии с приведенным определением охватывает практически все виды автоматизированных информационных систем, то есть никак (ничем) не ограничивает круг бесплатно предоставляемых обязательных экземпляров, хотя термин "издание", введенный Законом "О средствах массовой информации", подразумевает издание средства массовой информации, то есть соответствие определенным требованиям в смысле регистрации, тиража и т.д. В Законе "Об авторском праве и смежных правах" термин "издание" употребляется только в смысле "периодического издания". В смысле указанных выше законов, применение по отношению к "программе для ЭВМ" термина "электронное издание" представляется некорректным.

Закон "О связи" (от 16.02.95 г. N15-ФЗ).

Средства связи вместе со средствами вычислительной техники составляют техническую базу обеспечения процесса сбора, обработки, накопления и распространения информации (ст.1).

Таким образом, закон регулирует обширную область правоотношений, возникающих при передаче информации по каналам связи (при осуществлении удаленного доступа пользователей к базам данных, обмене электронными сообщениями и других ситуациях).

3. Закон "О средствах массовой информации" (27.12.91 г. N 2124-I)

В ст.2 приведены определения основных терминов, в том числе "массовая информация", "средство массовой информации", "периодическое печатное издание", которые предусматривают иные сообщения и материалы, нежели печатные, аудио-, аудиовизуальные; иные формы периодического распространения массовой информации, нежели печатное издание, радио-, теле-, видеопрограмма, кинохроникальная программа; иное издание, нежели газета, журнал, альманах, бюллетень. Исходя из этих определений правомерно предположить, что средства массовой информации могут создаваться и распространяться с использованием новых информационных технологий.

Статья 24 "Иные средства массовой информации" предусматривает, что "правила, установленные настоящим Законом для периодических печатных изданий, применяются в отношении периодического распространения тиражом тысяча и более экземпляров текстов, созданных с помощью компьютеров и (или) хранящихся в их банках и базах данных, а равно в отношении иных средств массовой информации, продукция которых распространяется в виде печатных сообщений, материалов, изображений.

Правила, установленные настоящим Законом для радио - и телепрограмм, применяются в отношении периодического распространения массовой информации через системы телекса, видеотекста и иные телекоммуникационные сети, если законодательством Российской Федерации не установлено иное.

ГОСТы по защите информации.

ГОСТ 28147-89. СОД. Защита криптографическая. Алгоритмы криптографического преобразования.

(*) ГОСТ 29.339-92. Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования.

П85 - ГОСТ Р34.10-94. Информационные технологии. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

П85 - ГОСТ Р34.11-94. Информационные технологии. Криптографическая защита информации. Функция хэширования.

(*) ГОСТ РВ50170-92. Противодействие ИТР. Термины и определения.

П85 - ГОСТ Р50739-95. СВТ. Защита от несанкционированного доступа к информации. Общие технические требования.

(*) ГОСТ РВ50600-93. Защита секретной информации от технической разведки. Система документов. Общие положения.

(*) ГОСТ Р50752-95. Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний.

Э00 - ГОСТ Р50922-96. Защита информации. Основные термины и определения.

*) - закрытые

Лекция 2. Правовое обеспечение защиты гостайны. Закон "О государственной тайне"

Вопросы:

1. Понятие гостайны. Сведения, относимые к гостайне

Засекречивание и рассекречивание сведений и носителей

2. Защита гостайны.

3. Подзаконные и ведомственные акты по защите гостайны. ГОСТы по защите гостайны.

1.

ЗАКОН О ГОСУДАРСТВЕННОЙ ТАЙНЕ (в ред. Федерального закона от 06.10.97 N 131-ФЗ)

Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. (в ред. Федерального закона от 06.10.97 N 131-ФЗ)

В настоящем Законе используются следующие основные понятия:

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

Статья 5. Перечень сведений, составляющих государственную тайну

Государственную тайну составляют:

1) сведения в военной области:

о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, предусмотренных Федеральным законом "Об обороне", об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов;

о планах строительства Вооруженных Сил Российской Федерации, других войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно - исследовательских и опытно - конструкторских работ по созданию и модернизации образцов вооружения и военной техники;

о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов, используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения;

2) сведения в области экономики, науки и техники:

о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов;

об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства;

о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства;

об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции;

3) сведения в области внешней политики и экономики:

о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства;

о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно - кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;

4) сведения в области разведывательной, контрразведывательной и оперативно - розыскной деятельности:

о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно - розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;

о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно - розыскную деятельность;

об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;

о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно - аналитических системах специального назначения;

о методах и средствах защиты секретной информации;

об организации и о фактическом состоянии защиты государственной тайны;

о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации;

о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации;

о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

2.

Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации.

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Статья 11. Порядок засекречивания сведений и их носителей

Основанием для засекречивания сведений, полученных (разработанных) в результате управленческой, производственной, научной и иных видов деятельности органов государственной власти, предприятий, учреждений и организаций, является их соответствие действующим в данных органах, на данных предприятиях, в данных учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

При невозможности идентификации полученных (разработанных) сведений со сведениями, содержащимися в действующем перечне, должностные лица органов государственной власти, предприятий, учреждений и организаций обязаны обеспечить предварительное засекречивание полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица, утвердившего указанный перечень, предложения по его дополнению (изменению).

Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.

Статья 13. Порядок рассекречивания сведений

Рассекречивание сведений и их носителей - снятие ранее введенных в предусмотренном настоящим Законом порядке ограничений на распространение сведений, составляющих государственную тайну, и на доступ к их носителям.

Основаниями для рассекречивания сведений являются:

взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в Российской Федерации государственную тайну;

изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.

Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, в части обоснованности засекречивания сведений и их соответствия установленной ранее степени секретности.

Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.

Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за обоснованность принятых ими решений по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к государственной тайне, подлежат согласованию с межведомственной комиссией по защите государственной тайны, которая вправе приостанавливать и опротестовывать эти решения.

Статья 14. Порядок рассекречивания носителей сведений, составляющих государственную тайну

Носители сведений, составляющих государственную тайну, рассекречиваются не позднее сроков, установленных при их засекречивании. До истечения этих сроков носители подлежат рассекречиванию, если изменены положения действующего в данном органе государственной власти, на предприятии, в учреждении и организации перечня, на основании которых они были засекречены.

В исключительных случаях право продления первоначально установленных сроков засекречивания носителей сведений, составляющих государственную тайну, предоставляется руководителям государственных органов, наделенным полномочиями по отнесению соответствующих сведений к государственной тайне, на основании заключения назначенной ими в установленном порядке экспертной комиссии.

Руководители органов государственной власти, предприятий, учреждений и организаций наделяются полномочиями по рассекречиванию носителей сведений, необоснованно засекреченных подчиненными им должностными лицами.

Руководители государственных архивов Российской Федерации наделяются полномочиями по рассекречиванию носителей сведений, составляющих государственную тайну, находящихся на хранении в закрытых фондах этих архивов, в случае делегирования им таких полномочий организацией - фондообразователем или ее правопреемником. В случае ликвидации организации - фондообразователя и отсутствия ее правопреемника вопрос о порядке рассекречивания носителей сведений, составляющих государственную тайну, рассматривается межведомственной комиссией по защите государственной тайны.

3.

ЗАЩИТА ГОСУДАРСТВЕННОЙ ТАЙНЫ

Статья 20. Органы защиты государственной тайны

К органам защиты государственной тайны относятся:

межведомственная комиссия по защите государственной тайны;

органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах; (в ред. Федерального закона от 06.10.97 N 131-ФЗ) (см. текст в предыдущей редакции) органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны, утверждаемым Президентом Российской Федерации.

Органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации. (в ред. Федерального закона от 06.10.97 N 131-ФЗ) (см. текст в предыдущей редакции)

Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

Статья 26. Ответственность за нарушение законодательства Российской Федерации о государственной тайне

Согласно Закона РФ от 19.02.93 N 4524-1 (ред. от 24.12.93) "О федеральных органах правительственной связи и информации", а именно статья 10. "Обязанности федеральных органов правительственной связи и информации" Федеральные органы правительственной связи и информации обязаны: ж) обеспечивать безопасность правительственной связи Российской Федерации; з) координировать на безвозмездной основе в интересах обеспечения сохранения государственной и иной охраняемой законом тайны деятельность организаций, предприятий, учреждений независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи; к) участвовать в обеспечении защиты технических средств обработки, хранения и передачи секретной информации в учреждениях, находящихся за рубежом Российской Федерации, от ее утечки по техническим каналам; А согласно статья 11. "Права федеральных органов правительственной связи и информации" Федеральные органы правительственной связи и информации имеют право: п) участвовать в разработке нормативных актов по реализации и контролю мер защиты технических средств обработки, хранения и передачи секретной информации на местах их эксплуатации в учреждениях, находящихся за рубежом Российской Федерации; т) осуществлять контакты и сотрудничество с соответствующими службами иностранных государств по вопросам обеспечения правительственной международной связи, разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, защиты информации, организации шифрованной связи и поставок шифровальных средств; ф) выдавать рекомендации в соответствии с законодательством Российской Федерации по заявкам на изобретения, полезные модели и промышленные образцы в области шифровальных средств, разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, а также в пределах своей компетенции по вопросам защиты помещений и технических средств от утечки информации;

4.

Подзаконные и ведомственные акты по защите гостайны:

1. ГОСТы по защите гостайны

2. Указы Президента по защите гостайны

3. Постановления Правительства по защите гостайны

4. Ведомственные акты и ГОСТы по защите гостайны

1.

Утвержден Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203

ПЕРЕЧЕНЬ СВЕДЕНИЙ, ОТНЕСЕННЫХ К ГОСУДАРСТВЕННОЙ ТАЙНЕ

1. Перечень сведений, отнесенных к государственной тайне, содержит сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности государства, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования федеральных органов исполнительной власти и других организаций (далее именуются - государственные органы), наделенных полномочиями по распоряжению этими сведениями.

Каждый из указанных в настоящем Перечне государственных органов наделяется полномочиями по распоряжению сведениями отраслевой (ведомственной) принадлежности в рамках его компетенции, определенной положением о конкретном государственном органе, а также сведениями других собственников информации соответствующей тематической направленности по их представлению.

Настоящий Перечень пересматривается по мере необходимости.

Утверждено

Указом Президента Российской Федерации от 20 января 1996 г. N 71

ПОЛОЖЕНИЕ О МЕЖВЕДОМСТВЕННОЙ КОМИССИИ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ

1. Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия) образована в соответствии с Законом Российской Федерации "О государственной тайне" и Указом Президента Российской Федерации от 8 ноября 1995 г. N 1108 "О Межведомственной комиссии по защите государственной тайны".

2. Правовую основу деятельности Межведомственной комиссии составляют Конституция Российской Федерации, Законы Российской Федерации "О безопасности", "О государственной тайне", Федеральный закон "Об информации, информатизации и защите информации", указы и распоряжения Президента Российской Федерации, постановления и распоряжения Правительства Российской Федерации, регулирующие отношения в области защиты государственной тайны, а также настоящее Положение.

3. Межведомственная комиссия - коллегиальный орган, основной функцией которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (далее именуются - органы государственной власти) по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне.

2.

Утверждены Постановлением Правительства Российской Федерации от 4 сентября 1995 г. N 870

ПРАВИЛА

ОТНЕСЕНИЯ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, К РАЗЛИЧНЫМ СТЕПЕНЯМ СЕКРЕТНОСТИ

1. Настоящие Правила разработаны в соответствии с Законом Российской Федерации "О государственной тайне" и являются обязательными для исполнения органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, при разработке ими развернутого перечня сведений, подлежащих засекречиванию (далее именуется - перечень), а также другими органами государственной власти, органами местного самоуправления, предприятиями, учреждениями и организациями при подготовке предложений о включении в перечень сведений, собственниками которых они являются.

2. Перечень должен определять степень секретности конкретных сведений (группы сведений), а его структура - учитывать ведомственную или отраслевую специфику.

Утверждена Постановлением Правительства Российской Федерации от 28 октября 1995 г. N 1050

ИНСТРУКЦИЯ

О ПОРЯДКЕ ДОПУСКА ДОЛЖНОСТНЫХ ЛИЦ И ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ К ГОСУДАРСТВЕННОЙ ТАЙНЕ

1. Настоящая Инструкция разработана в соответствии с Законом Российской Федерации "О государственной тайне", другими актами действующего законодательства, которые регулируют отношения, связанные с защитой государственной тайны, и определяет порядок допуска должностных лиц и граждан Российской Федерации (далее именуются - граждане) к государственной тайне. Ее положения обязательны для выполнения органами государственной власти Российской Федерации, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно - правовой формы, которые выполняют работы, связанные с использованием сведений, составляющих государственную тайну, либо стремятся в установленном порядке получить лицензию на право проведения таких работ (далее именуются - организации).

2. В федеральных органах исполнительной власти в соответствии с требованиями настоящей Инструкции, особенностями деятельности и характером выполняемых задач при необходимости могут разрабатываться ведомственные инструкции, которые согласовываются с Федеральной службой безопасности Российской Федерации и утверждаются руководителями этих органов.

3. Допуск граждан к государственной тайне на территории Российской Федерации и за ее пределами осуществляется руководителями соответствующих организаций в порядке, установленном настоящей Инструкцией.

Следующим документом Правительства по защите гостайны является Постановление №1003 "Положение о порядке допуска лиц двойного гражданства, лиц без гражданства, иностранных граждан, эмигрантов и реэмигрантов к гостайне" (см. семин.2и3, с.8).

3.

Утверждена Директором Федеральной службы безопасности Российской Федерации "23" августа 1995 г., № 28

Инструкция

о порядке проведения специальных экспертиз по допуску предприятий (учреждений и организаций) к проведению работ, связанных с использованием сведений, составляющих государственную тайну

1. Настоящая Инструкция разработана в соответствии с требованиями Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и оказанием услуг по защите государственной тайны, введенного в действие постановлением Правительства Российской Федерации от 15 апреля 1995г. № 333.

2. Настоящая Инструкция определяет порядок организации и проведения специальных экспертиз предприятий, учреждений и организаций (далее - предприятия) на право осуществления ими работ, связанных с использованием сведений, составляющих государственную тайну (далее - специальная экспертиза), на территории Российской Федерации.

3. Специальные экспертизы предприятий выполняются по следующим направлениям:

а) режим секретности;

б) противодействие иностранной технической разведке;

в) защита информации от утечки по техническим каналам.

Утверждены решением Межведомственной комиссии по защите государственной тайны от 13 марта 1996 года № 3 Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий, учреждений и организаций ответственных за. защиту сведений, составляющих государственную тайну

1. Настоящие Методические рекомендации разработаны в соответствии с "Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны", введенным в действие постановлением Правительства РФ от 15 апреля 1996 г. №333.

2. Методических рекомендации устанавливают порядок организации и проведения государственной аттестации руководителей предприятий, учреждений и организаций (далее именуются - предприятия), ответственных за защиту сведений, составляющих государственную тайну (далее - аттестуемые).

3. Государственная аттестация руководителей предприятий организуется Федеральной службой безопасности Российской Федерации и ее территориальными органами (на территории Российской Федерации), Федеральным агентством правительственной связи и информации при президенте Российской Федерации (в пределах их компетенции), а также министерствами и ведомствами, руководители которых наделены полномочиями по отнесению сведений к государственной тайне в отношении подведомственных им предприятий (далее именуются - органы государственной аттестации).

4. Органами государственной аттестации на основании настоящих Методических рекомендаций могут быть разработаны ведомственные Положения о государственной аттестации руководителей, ответственных за защиту сведений, составляющих государственную тайну, учитывающие специфику их деятельности.

5. Государственная аттестация руководителей предприятий проводится с целью оценки знаний аттестуемого, необходимых для организации на предприятии защиты сведений, составляющих государственную тайну.

6. От государственной аттестации освобождается лицо, прошедшее курс обучения и имеющее свидетельство установленного образца об освоении специальных программ в учебных заведениях, уполномоченных осуществлять подготовку (повышение кодификации, переподготовку) специалистов по вопросам защиты информации, составляющей государственную тайну. Учебные заведения, уполномоченные осуществлять подготовку таких специалистов, определяются отдельным перечнем.

ГОСТы по защите гостайны:

ГОСТ РВ 50600-93. Защита секретной информации от технической разведки. Система документов. Общие положения (закрытый)

ГОСТ РВ 50170-92. Противодействие ИТР. Термины и определения (закрытый)

Лекция 3. Правовое обеспечение защиты конфиденциальной информации

Вопросы:

1. Правое определение понятия конфиденциальной информации. Сведения, относимые к КИ

2. Законодательные и правовые акты по защите КИ

3. Подзаконные акты по ЗКИ

1.

Закон "Об информации, информационных технологиях и о защите информации".

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие основные понятия:

1) информация - сведения (сообщения, данные), независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использования;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

2. Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

3. Информация, в зависимости от порядка ее предоставления или распространения, подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.

Статья 8. Право на доступ к информации

1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

4. Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

2. Конституция РФ:

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом ГК РФ:

Статья 139. Служебная и коммерческая тайна

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Статья 727. Конфиденциальность полученной сторонами информации

Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.

Порядок и условия пользования такой информацией определяются соглашением сторон.

Статья 771. Конфиденциальность сведений, составляющих предмет договора

1. Если иное не предусмотрено договорами на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре.

2. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.

Статья 857. Банковская тайна

1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом.

3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

УПК РФ:

Статья 12. Неприкосновенность жилища, охрана личной жизни и тайны переписки

Гражданам гарантируется неприкосновенность жилища. Никто не имеет права без законного основания войти в жилище против воли проживающих в нем лиц.

Личная жизнь граждан, тайна переписки, телефонных переговоров и телеграфных сообщений охраняются законом.

Обыск, выемка, осмотр помещения у граждан, наложение ареста на корреспонденцию и выемка ее в почтово - телеграфных учреждениях могут производиться только на основаниях и в порядке, установленных настоящим Кодексом.

Статья 139. Недопустимость разглашения данных предварительного следствия

Данные предварительного следствия могут быть преданы гласности лишь с разрешения следователя или прокурора и в том объеме, в каком они признают это возможным.

В необходимых случаях следователь предупреждает свидетелей, потерпевшего, гражданского истца, гражданского ответчика, защитника, эксперта, специалиста, переводчика, понятых и других лиц, присутствующих при производстве следственных действий, о недопустимости разглашения без его разрешения данных предварительного следствия. От указанных лиц отбирается подписка с предупреждением об ответственности статьей 310 Уголовного кодекса Российской Федерации. (в ред. Федерального закона от 21.12.96 N 160-ФЗ) (см. текст в предыдущей редакции) (в ред. Указа Президиума Верховного Совета РСФСР от 31.08.66 - Ведомости Верховного Совета РСФСР, 1966, N 36, ст.1018)

Статья 302. Тайна совещания судей

Приговор постановляется судом в совещательной комнате. Во время совещания судей в совещательной комнате могут находиться лишь судьи, входящие в состав суда по данному делу. Присутствие иных лиц не допускается.

С наступлением ночного времени суд вправе прервать совещание для отдыха. Судьи не могут разглашать суждения, имевшие место во время совещания.

Статья 452. Тайна совещания присяжных заседателей

Присяжные заседатели не могут разглашать суждения, имевшие место во время совещания.

УК РФ:

Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста до трехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до трех месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от двух до четырех месяцев.

3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Статья 155. Разглашение тайны усыновления (удочерения)

Разглашение тайны усыновления (удочерения) вопреки воле усыновителя, совершенное лицом, обязанным хранить факт усыновления (удочерения) как служебную или профессиональную тайну, либо иным лицом из корыстных или иных низменных побуждений, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

Статья 310. Разглашение данных предварительного расследования

Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо исправительными работами на срок до двух лет, либо арестом на срок до трех месяцев.

Статья 311. Разглашение сведений о мерах безопасности, применяемых в отношении судьи и участников уголовного процесса

1. Разглашение сведений о мерах безопасности, применяемых в отношении судьи, присяжного заседателя или иного лица, участвующего в отправлении правосудия, судебного пристава, судебного исполнителя, потерпевшего, свидетеля, других участников уголовного процесса, а равно в отношении их близких, если это деяние совершено лицом, которому эти сведения были доверены или стали известны в связи с его служебной деятельностью, - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев, либо ограничением свободы на срок до двух лет, либо арестом на срок до четырех месяцев.

2. То же деяние, повлекшее тяжкие последствия, - наказывается лишением свободы на срок до пяти лет.

Статья 320. Разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа

1. Разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа, а также его близких, если это деяние совершено в целях воспрепятствования его служебной деятельности, - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев либо арестом на срок до четырех месяцев.

2. То же деяние, повлекшее тяжкие последствия, - наказывается лишением свободы на срок до пяти лет.

КоБС:

Статья 110. Обеспечение тайны усыновления

Тайна усыновления охраняется законом. Для обеспечения тайны усыновления по просьбе усыновителя может быть изменено место рождения усыновленного ребенка, а также в исключительных случаях дата его рождения, но не более чем на шесть месяцев. Об изменении места и даты рождения должно быть указано в решении об усыновлении.

Воспрещается без согласия усыновителей, а в случае их смерти без согласия органов опеки и попечительства сообщать какие-либо сведения об усыновлении, а также выдавать выписки из книг регистрации актов гражданского состояния, из которых было бы видно, что усыновители не являются кровными родителями усыновленного.

Лица, разгласившие тайну усыновления против воли усыновителя, могут быть привлечены к ответственности в установленном законом порядке.

3.

УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю:

Утвердить прилагаемый Перечень сведений конфиденциального характера.

Президент Российской Федерации Б. ЕЛЬЦИН Москва, Кремль 6 марта 1997 года N 188.

ПЕРЕЧЕНЬ

СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ

от 3 ноября 1994г. N 1233 г. Москва

Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти

Правительство Российской Федерации п о с т а н о в л я е т:

1. Утвердить прилагаемое Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.

2. Установить, что служебная информация, содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов, не подлежит разглашению (распространению).

Лекция 4. Нормативно-правовые акты по защите компьютерной информации. Предупреждение нарушений норм защиты информации

Вопросы:

1. Преступления в сфере компьютерной информации

Ответственность за преступления в сфере к. и.

Подзаконные и ведомственные акты в области защиты к. и.

4. Предупреждение нарушений норм защиты информации

1.

Родовым объектом преступлений в сфере компьютерной информации выступает совокупность специфических общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Именно поэтому рассматриваемая группа преступлений помещена в раздел 9 Особенной части УК - "Преступления против общественной безопасности и общественного порядка".

Отличительный признак компьютерных преступлений - особый предмет посягательства. Компьютерная информация как предмет преступного посягательства может содержаться (находиться) как на машинном носителе, так и в памяти ЭВМ, циркулировать по каналам связи, объединяющим ЭВМ в единую систему или сеть.

Преступления, имеющие своим предметом не компьютерную информацию, а электронно-вычислительную технику как аппаратную структуру, подпадают под совершенно иной вид правонарушений, посягающих на охраняемые уголовным законом отношения собственности. Например, если виновный сжигает микропроцессор, выводит из строя монитор или похищает ЭВМ, то содеянное надлежит квалифицировать по соответствующим статьям главы 21 Особенной части УК РФ.

В принципе, можно предположить случаи, когда вредоносное воздействие на ЭВМ осуществляется путем непосредственного влияния на нее информационных команд. Это возможно, если преступнику удается ввести движущиеся части машины (диски, принтер) в резонансную частоту, увеличить яркость дисплея или его части для прожигания люминофора, зациклить работу компьютера таким образом, чтобы при использовании минимального количества его участков произошел их разогрев и вывод из строя. Однако в этих случаях преступному посягательству подвергаются сразу два объекта уголовно-правовой охраны. Именно поэтому квалификацию содеянного надлежит проводить по совокупности преступлений: против собственности и в сфере компьютерной информации.

Почти все составы преступлений в сфере компьютерной информации относятся к преступлениям небольшой (ч.1 ст.272 и ч.1 ст.274 УК) и средней (ч.2 ст.272, ч.3 ст.273 и ч.2 ст.274 УК) тяжести, и только один состав (ч.2 ст.273 УК) - к тяжким преступлениям.

Общественно опасные деяния чаще всего выступают в форме активных действий и лишь иногда - как бездействие. Примером последнего может служить пассивная деятельность лица, выраженная в несоблюдении установленных правил эксплуатации ЭВМ, системы ЭВМ или их сети (например, лицо не проверяет машинный носитель информации на наличие вредоносной программы).

Определенную сложность может вызвать вопрос, связанный с установлением места совершения компьютерного преступления. С развитием информационных сетей, объединивших пользователей практически из всех развитых стран мира, место совершения общественно опасного деяния все реже может совпадать с местом реального наступления общественно-опасных последствий. Действующее уголовное законодательство не содержит прямых указаний относительно этого вопроса. Но по мнению многих ученых местом компьютерного преступления следует признавать территорию того государства, где совершены общественно опасные деяния независимо от места наступления преступных последствий.

С субъективной стороны преступления в сфере компьютерной информации характеризуются виной в форме умысла.

Факультативные признаки субъективной стороны компьютерных преступлений для квалификации значения не имеют, но учитываются судом в качестве смягчающих или отягчающих обстоятельств при назначении виновному наказания. По данным В.П. Панова, соотношение корысти с другими мотивами компьютерных преступлений составляет 66%. В течение длительного времени в филиале Калифорнийского университета в Лос-Анджелесе действовала группа преступников, продававшая изготовленные по последнему слову техники фальшивые дипломы и документы о присвоении ученого звания. За 25 тысяч долларов любой желающий мог получить "высшее образование" или стать "профессором". Расследованием установлено, что преступники сумели проникнуть в память университетской ЭВМ, в которой хранился весь массив информации о выпускниках и научных сотрудниках этого учебного заведения. С помощью особых кодов они вводили в ЭВМ данные о псевдовыпускниках университета, на основании которых компьютер автоматически выдавал необходимый документ.

Наряду с корыстью, мотивами компьютерных преступлений могут быть хулиганские побуждения, спортивный интерес, чувство мести и т.д. Например, практике известен случай, когда группа студентов, подключившись к ЭВМ одного западноевропейского военного ведомства, получила возможность повышать людей в звании, назначать на новые должности с баснословным жалованием и т.д. Следует иметь в виду, что компьютеризация все шире проникает в экспертную деятельность органов государственной власти. В частности, в настоящее время достаточно широкую известность приобрели автотранспортные экспертизы, проводимые с использованием компьютерной техники. Поэтому нельзя исключать возможность совершения рассматриваемых деяний с целью скрыть другое преступление.

2.

Ответственность за преступления в сфере компьютерной информации в качестве субъекта могут нести физические вменяемые лица, достигшие 16-летнего возраста.

На основе проведенного анализа признаков компьютерных преступлений их определение можно сформулировать следующим образом. Преступлениями в сфере компьютерной информации являются умышленно совершенные общественно опасные деяния, запрещенные уголовным законом под угрозой наказания, посягающие на общественные отношения по правомерному и безопасному использованию компьютерной информации., посредством прямого воздействия на нее.

УК РФ:

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

3.

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ РЕШЕНИЕ № 61 " " октября 1997 г. "О защите информации при вхождении России в международную информационную систему "Интернет"

ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТСредства антивирусной защиты. Показатели защищенности и требования по защите от вирусов.

Настоящий руководящий документ устанавливает классификацию антивирусных средств (АВС), и требования по антивирусной защите информации в автоматизированных системах (АС) различных классов защищенности.

Под АВС в данном документе понимается ориентированное на применение в составе конкретных АС программное (программно-аппаратное или аппаратное) средство защиты от вирусов и вирусоподобных воздействий. При использовании АВС совместно со средствами защиты от НСД, допускается выполнение отдельных требований за счет функций используемых средств защиты от НСД. Руководящий документ разработан в дополнение к РД “СВТ. Защита от НСД... ”. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АВС при формулировании и реализации требований по антивирусной защите.

РУКОВОДЯЩИЙ ДОКУМЕНТ СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. МЕЖСЕТЕВЫЕ ЭКРАНЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТНЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. ”, М., Военное издательство, 1992 и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", М., Военное издательство, 1992.

Документ предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.

4. Правовые основы выявления и предупреждения утечки охраняемой информации. Правовое регулирование организации и проведения административного расследования по фактам нарушения установленного порядка ЗИ

Правовые основы выявления и предупреждения утечки.

Право является эффективным регулятором социального развития всех общественных отношений, включая те, которые складываются в сфере предупреждения преступности.

Сразу оговоримся: не всякое нарушение норм защиты информации является преступлением, но речь будет идти о преступлениях, как самых тяжких правонарушениях.

Наука, изучающая преступление, называется - криминология. Буквально, в переводе - учение о преступлении. Однако, фактическое содержание науки криминологии гораздо шире и многоаспектнее. Криминология изучает преступность, виды преступности, преступления; их причины, иные виды их взаимосвязей с различными явлениями и процессами; результативность принимавшихся мер по борьбе с преступностью.

Право способствует реализации антикриминогенного потенциала всего общества.

Правовая основа предупреждения преступности имеет сложную структуру, включает в себя нормы различных отраслей права.

Важные положения, определяющие роль и значение предупредительной деятельности, ее содержание и направленность, обязательное соответствие принципам справедливости, гуманности, законности, содержатся в ряде международных правовых актов.

Базисное значение для правового обеспечения мер предупреждения преступности имеет ряд положений Конституции РФ.

Значение уголовного права для правового регулирования предупреждения преступности определяется прежде всего тем, что его нормами очерчен круг деяний, запрещенных под угрозой уголовной ответственности. Предупредительный эффект уголовно-правовых норм достигается в том числе посредством их воздействия на правосознание граждан.

Способствует предупреждению преступности и весь процесс исполнения наказаний.

Большое значение для правового регулирования предупреждения преступлений имеют нормы уголовно-процессуального закона.

Нормы рассмотренных отраслей права несут основную нагрузку в деле юридического упорядочения процесса предупреждения преступности. Характер сложной предупредительной деятельности таков, что в ней находят применение нормы не только тех отраслей права, которые непосредственно нацелены на противодействие преступности, но и ряд других. Это нормы гражданского, семейного, финансового и других отраслей права.

Оптимальная организация предупредительной деятельности немыслима без ее всестороннего, качественного информационного обеспечения. Если иметь в виду правоохранительные органы, то следует сказать, что именно их предупредительная деятельность требует постоянного сбора и использования обширного круга сведений, относящихся не только к внутренней, но и внешней информации. Наряду с правовой и собственно криминологической это информация - экономическая, политическая, социальная, демографическая, социально-психологическая, технологическая и др.

Коснувшись общих вопросов предупреждения преступности, остановимся на предупреждении нарушений норм защиты информации на примере предупреждения неправомерного доступа к компьютерной информации (ст.272 УК РФ), так как это преступление имеет определенную специфику, характеризуется высочайшим уровнем латентности и низким уровнем раскрываемости (по данным зарубежной статистики из 10 обнаруженных преступлений раскрывается одно).

Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения, а в идеале - полного недопущения возможности неправомерного доступа к компьютерной информации, хранящейся на машинных носителях; а также к устройствам ввода данных в персональный компьютер и их получения.

Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст.20 Федерального закона "Об информации, информатизации и защите информации" являются:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз безопасности личности, общества и государства;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий, средств их обеспечения.

Для выполнения поставленных задач используются средства защиты информации - технические, криптографические, и другие средства, предназначенные для защиты сведений. Понятие защиты данных включает в себя как разработку и внедрение соответствующих методов защиты, так и их постоянное использование. Методы защиты компьютерной информации условно делятся на правовые, организационные и технические.

Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек, необходимо выделить специфические организационные и программно-технические средства их защиты. Организационная защита кредитных карт должна включать прежде всего проверку их обеспеченности. Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение. Кроме того, необходимо:

обеспечить секретность в отношении предельных сумм, свыше которых производится проверка обеспеченности карты;

регистрировать все операции с карточками;

ужесточить условия выдачи банками кредитных карт.

Программно-техническая защита электронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков, которые не могут быть скопированы, а также узора из полос, нанесенного магнитными чернилами и запрессованного в материал карточки; использовании современных материалов, отказе от видимой на карточке подписи ее владельца.

В соответствии со ст.21 Федерального закона "Об информации, информатизации и защите информации" контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляется органами государственной власти. Контроль проводиться в порядке, определяемом Правительством РФ. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Субъектами, осуществляемыми профилактику неправомерного доступа к компьютерной информации, являются:

Правоохранительные органы, поскольку профилактическая деятельность составляет обязательную часть правоохранительной деятельности. К ним относятся прокуратура, органы внутренних дел, налоговой полиции, федеральной службы безопасности.

Органы межведомственного контроля: Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ.

Органы исполнительной власти: Федеральное агентство правительственной связи и информации при Президенте РФ, Министерство связи и информатизации, Гостехкомиссия.

Международные органы и общественные организации: Международная академия информатизации.

Непосредственные руководители предприятий и организаций, в которых обращается конфиденциальная информация, ответственные сотрудники по информационной безопасности.

2. Правовое регулирование организации и проведения административного расследования по фактам нарушений

(На примере расследования НСД к компьютерной информации (к. и)).

Поводами к возбуждению уголовного дела по ст.272 УК будут являться:

сообщения должностных лиц организаций (более 1/3);

непосредственное обнаружение органом дознания, следователем или прокурором сведений, указывающих на признаки преступления;

заявления граждан;

сообщения в СМИ и др.

В зависимости от источника и содержания сведений о НСД к к. и. могут

складываться следующие проверочные ситуации:

НСД обнаружен при реализации к. и. незаконным пользователем.

2. НСД обнаружен законным пользователем по записи в автоматически ведущемся в компьютере "Журнале оператора" (журнале контроля доступа) без установления нарушителя.

3. НСД обнаружен законным пользователем с фиксацией на своем ПК данных о лице-нарушителе.

4. НСД обнаружен оператором на месте преступления.

5. Есть сведения об имевшем место НСД ("взломаны" терминалы и нарушители незаконно связываются с …).

В случае 5. требуется провести проверочные действия по ст.109 УПК:

получить объяснения,

произвести осмотр места происшествия,

истребовать необходимые материалы,

осуществить оперативно-розыскные мероприятия.

Первоначальный этап расследования (НСД к к. и)

1. Получение объяснений от:

инженеров-программистов (разработчиков ПО, отладчиков, обслуживающего персонала)

операторов

электронщиков отдела ТО ВЦ (эксплуатация и ремонт)

системщиков

инженеров по телекоммуникационному оборудованию

специалистов по обеспечению безопасности и др.

2. Осмотр места происшествия

3. Истребование необходимых материалов

4. Оперативно-розыскные мероприятия

Последующий этап расследования

В зависимости от складывающейся следственной ситуации следователь проводит комплекс следственных действий, в число которых входит:

допрос обвиняемого (-мых)

очные ставки

назначение экспертиз

предъявление для опознания

следственный эксперимент

проверка и уточнение показаний на месте.

Лекция 5. Задачи систем обеспечения безопасности информации в автоматизированных системах

Вопросы:

1. Возможные угрозы безопасности информации и их специфика

2. Задачи систем обеспечения безопасности информации

1.

Роль информации в жизни общества чрезвычайно высока. Адекватное поведение каждого члена общества возможно только при наличии полной и достоверной информации о среде его деятельности и предмете его устремлений, при обеспечении безопасности конфиденциальной информации, находящейся в его распоряжении. Соответственно, и выполнение возложенных на АС функций возможно при соблюдении тех же условий.

Событие (или действие), которое может вызвать нарушение функционирования АС, включая искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации, называется угрозой. Возможность реализации тех или иных угроз в АС зависит от наличия в ней уязвимых мест. Количество и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями АС, наличием средств защиты и их характеристик.

Рассмотрим обобщенный перечень возможных угроз, типичный для любой АС, основываясь на материалах, изложенных в [1]. Условно все возможные угрозы можно разделить на три группы в соответствии с тремя видами источников угроз (табл. 1). Угрозы первой группы независимы от людей. Они либо связаны с прямым физическим воздействием на элементы AC (ураганы, наводнения, пожары и т.п.) и недуг к нарушению работы АС' и физическому уничтожению носителей информации, средств обработки и передачи данных, обслуживающего персонала, либо оказывают электромагнитное воздействие на магнитные носители информации, электронные средства обработки и передачи данных, обслуживающий персонал и ведут к отказам и сбоям аппаратуры, искажению или уничтожению информации, ошибкам персонала.

Угрозы второй группы связаны с надежностью технических средств систем обеспечения работы АС. Сюда относятся внезапное временное прекращение работы АС, ведущее к потерям информации и управления объектами в управляющих АС, а также ненадежная работа аппаратно-программных средств, ведущая к искажению и потерям информации, нарушениям в управлении объектами.

К угрозам этой же группы относятся электромагнитные излучения, за счет которых осуществляется несанкционированный перенос информации за пределы АС, что приводит к утечке информации, и утечка информации через легальные каналы связи за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.

Угрозы третьей группы связаны с наличием людей как в АС, так и вне ее.

К данной группе относятся случайные непреднамеренные действия пользователей, ошибки операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности, которые ведут к искажению или уничтожению информации, нарушению выполнения АС своих функций, ошибкам в работе программ и средствах управления безопасностью АС

Таблица I

Страницы: 1, 2