480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников
240 руб. | 75 грн. | 3,75 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Автореферат - 240 руб., доставка 1-3 часа, с 10-19 (Московское время), кроме воскресенья
Фисун Юлия Александровна. Государственно-правовые основы информационной безопасности в органах внутренних дел: Дис. ... канд. юрид. наук: 12.00.02: Москва, 2001 213 c. РГБ ОД, 61:01-12/635-2
Введение
Глава I. Понятие и правовые основы информационной безопасности . 14
1. Понятие и сущность информационной безопасности 14
2. Основные направления деятельности государства по обеспечению информационной безопасности 35
3. Основные направления формирования законодательства в сфере обеспечения информационной безопасности 55
Глава II. Организационные основы информационной безопасности в органах внутренних дел 89
1. Организация деятельности органов внутренних дел по обеспечению информационной безопасности 89
2. Формы и методы обеспечения информационной безопасности в органах внутренних дел
Заключение 161
Список литературы 166
Приложения 192
Введение к работе
Актуальность темы исследования. Информатизация правоохранительной сферы, основанная на бурном развитии информационных систем, сопровождается существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны криминальных структур и граждан. Одной из особенностей процесса информатизации является формирование и использование информационных ресурсов, обладающих соответствующими свойствами достоверности, своевременности, актуальности, среди которых важное значение имеет их безопасность. Это в свою очередь предполагает развитие безопасных информационных технологий, которые должны исходить из приоритетного характера решения проблем обеспечения информационной безопасности. Необходимо отметить, что отставание в решении названных проблем может существенно снизить темпы информатизации правоохранительной сферы.
Таким образом, одной из первоочередных задач, стоящих перед органами внутренних дел, является разрешение противоречий между реально существующим и необходимым качеством защищенности своих информационных интересов (потребностей), т. е. обеспечение их информационной безопасности.
Проблема обеспечения информационной безопасности в органах внутренних дел неразрывно связана с деятельностью государства в информационной сфере, включающую и сферу информационной безопасности. За последний период принято большое количество нормативных правовых актов по вопросам информационного законодательства. Их них лишь немногие относятся к сфере информационной безопасности и при этом касаются лишь общих положений обеспечения безопасности (например Закон РФ "О безопасности"). Само определение "информационная безопасность" впервые появилось в Федеральном законе "Об участии в международном информационном обмене". О защите информации говорится и в Федеральном законе "Об информации, информатизации и защите информации", но без определения понятия защиты информации. Ввиду отсутствия понятий видов информации, не совсем ясно, какую информацию следует защищать.
Принятая в новой редакции Концепция национальной безопасности, приоритетной задачей которой является не только решение вопросов государственной безопасности, но и ее составляющих, ориентирована прежде всего на борьбу с терроризмом. К сожалению, вопросы, связанные с информационной безопасностью, затрагивают только угрозы в информационной сфере. О роли МВД как субъекте обеспечения безопасности вообще ничего не говорится.
Актуальность избранной темы подчеркивает акт принятия Доктрины информационной безопасности Российской Федерации (РФ), в которой впервые было введено определение информационной безопасности РФ, угроз информационной безопасности, методов обеспечения информационной безо- пасности РФ и т. д.
Что же касается вопросов информационной безопасности в органах внутренних дел, то в юридической литературе они, в основном, сводятся к общим положениям: перечисляются угрозы безопасности и называются некоторые методы ее обеспечения, характерные для всей правоохранительной сферы. Организационно-правовые аспекты обеспечения информационной безопасности органов внутренних дел в рамках предлагаемого понятия информационной безопасности рассматриваются неполно.
С учетом вышесказанного предлагается ввести понятие информационной безопасности органов внутренних дел. Информационная безопасность органов внутренних дел представляет собой состояние защищенности ин- о формационной среды, соответствующей интересам органов внутренних дел, при котором обеспечиваются их формирование, использование и возможности развития независимо от воздействия внутренних и внешних информаци онных угроз. При этом с учетом известных определений угрозы под информационной угрозой будем понимать совокупность условий и факторов, создающих опасность информационной среде и интересам органов внутренних дел.
Таким образом, актуальность правового регулирования информационной безопасности в деятельности органов внутренних дел не вызывает сомнений. Для достижения должного уровня нормативно-правового обеспечения информационной безопасности требуется определение ее предметных областей, регулирование отношений субъектов обеспечения с учетом особенностей основных объектов информационной безопасности. Поэтому, по мнению диссертанта, необходимо комплексное исследование не только правового регулирования информационной безопасности на уровне министерств и ведомств, но и исследование состояния и развития нормативной правовой базы в сфере информационной безопасности.
Степень разработанности темы исследования. Проведенный автором анализ результатов исследований ученых позволяет констатировать, что проблемы правового регулирования информационных отношений, обеспечения информационной безопасности и ее компонентов являются актуальными для правовой науки и практики и требуют дальнейшего развития". Значительное количество публикаций посвящено частным проблемам и вопросам правового регулирования отношений в информационной сфере, сфере информационной безопасности, обеспечения безопасности информации, предполагающей ее защиту от хищения, утраты, несанкционированного доступа, копирования, модификации, блокирования и т.п., рассматриваемых в рамках формируемого правового института тайны. Большой вклад в развитие данноо направления внесли отечественные ученые и специалисты: А. Б. Агапов, В. И. Булавин, Ю. М. Батурин, С. А. Волков, В. А. Герасименко, В. Ю. Гай-кович, И. Н. Глебов, Г. В. Грачев, С. Н. Гриняев, Г. В. Емельянов, В. А. Копылов, А. П. Курило, В. Н. Лопатин, А. А. Малюк, А. С. Прудников, С. В. Рыбак, А. А. Стрельцов, А. А. Фатьянов, А. П. Фисун, В. Д. Циганков, Д. С. Черешкин, А. А. Шиверский и др1.
В ходе диссертационного исследования широко использовались новейшие достижения естественных, социально-экономических и технических наук, исторический и современный опыт обеспечения информационной безопасности личности, общества и государства; материалы различных периодических научных изданий, научных, научно-практических конференций и семинаров, труды ученых в области теории права и государства, монографические исследования в области права, информационного законодательства, комплексной защиты информации и информационной безопасности.
Объект и предмет исследования. Объектом исследования является действующая и формирующаяся системы общественных отношений, сложившихся в информационной сфере и сфере информационной безопасности.
Предметом исследования являются международно-правовые акты, содержание Конституции Российской Федерации, нормы отечественного законодательства, регулирующие отношения в области обеспечения информационной безопасности личности, общества и государства, а также содержание правовых норм, регулирующих деятельность органов внутренних дел по обеспечению информационной безопасности.
Цели и задачи исследования. На основе анализа и систематизации действующего законодательства в информационной сфере, информационной безопасности диссертантом были разработаны основы и внедрены научно методические рекомендации по применению правового и организационного инструментария обеспечения информационной безопасности как в деятельности органов внутренних дел, так и в учебном процессе.
В рамках достижения указанной цели были поставлены и решены следующие теоретические и научно-практические задачи: проанализированы и уточнены основные понятия, виды, содержание информации как объекта обеспечения информационной безопасности и правоотношений;
2) систематизированы существующие направления и предложения по формированию правовых и организационных основ информационной безопасности, выявлены и уточнены направления по совершенствованию законодательной базы в области обеспечения информационной безопасности, в том числе и в органах внутренних дел;
3) систематизированы нормативные правовые акты и сформирована структура действующего законодательства в информационной сфере;
4) определено содержание организационных основ деятельности органах внутренних дел по обеспечению информационной безопасности;
5) выявлены организационно-правовые аспекты системы обеспечения информационной безопасности и ее структуры в деятельности органов внутренних дел;
6) проанализированы и выбраны формы и методы обеспечения информационной безопасности в органах внутренних дел в рамках правового регулирования их применения и разработки.
Методологическую основу диссертационного исследования составляют всеобщие философские методы и принципы материалистической диалектики; общенаучные методы сравнения, обобщения, индукции; частно-научные методы: системно-структурный, системно-деятельностный, формально-юридический, сравнительно- правовой и другие методы исследования.
Нормативную базу исследования составляют Конституция Российской Федерации, нормативные правовые акты Российской Федерации в том числе, международное законодательство, нормы различных отраслей права, ведомственные нормативные акты.
Научная новизна диссертационных исследований заключается:
В исследовании проблемы развития правовых и организационных основ обеспечения информационной безопасности в органах внутренних дел с позиций опережающего развития потребностей практики и формирования информационной сферы в условиях широкого внедрения новых информационных технологий и возрастания информационных угроз;
Осмыслении места и роли конституционного права в жизни российского общества, а также дальнейшей перспективы его развития, в рамках государственной политики обеспечения информационной безопасности;
Уточнении системы законодательства государства в области обеспечения информационной безопасности;
Осуществлении систематизации нормативных правовых актов в области информационной безопасности и формировании структуры законодательства в области информационной безопасности личности, общества, государства, в том числе органов внутренних дел;
Разработке предложений по совершенствованию законодательства в сфере информационной безопасности;
Разработке организационно-правовых компонентов системы обеспечения информационной безопасности в органах внутренних дел;
Разработке научно-методических рекомендаций по использованию правового и организационного инструментария обучения обеспечения информационной безопасности в органах внутренних дел и в учебном процессе при подготовке специалистов по правовым основам информационной безопасности.
Основные положения, выносимые на защиту:
1. Определение понятийного аппарата по правовым основам действующего законодательства в области информационной безопасности, в том числе понятия информационной безопасности, позволяющего сформировать представление об информации как объекте обеспечения информационной безопасности и правоотношений, а также сформулировать угрозы безопасности.
Информационная безопасность органов внутренних дел - это состояние защищенности информационной среды, соответствующей интересам органов внутренних дел, при котором обеспечиваются их формирование, использование и возможности развития, независимо от воздействия внутренних и внешних угроз.
2. Проблема обеспечения информационной безопасности на государственном уровне предполагает более глубокое теоретическое и практическое осмысление места и роли конституционного права в жизни российского общества, а также дальнейшей перспективы его развития в рамках следующих направлений:
Совершенствование конституционного законодательства "О государственных состояниях и режимах", в частности в сфере информационной безопасности, и совершенствование на этой основе законодательства субъектов Российской Федерации в этой сфере;
Первоочередная реализация конституционных прав граждан в информационной сфере;
Реализация единой государственной политики в области информационной безопасности, обеспечивающей оптимальный баланс интересов субъектов в информационной сфере и устраняющей пробелы в конституционном законодательстве.
3. Предложения по уточнению основных направлений деятельности государства по формированию законодательства в информационной сфере, включающей сферу информационной безопасности, представляющие собой пути совершенствования нормативно-правовой базы информационного законодательства и позволяющие определить правовые основы деятельности органов внутренних дел в сфере информационной безопасности. Они исходят из совокупности сбалансированных интересов личности, общества и государства в области экономики, социальной, внутриполитической, международной, информационной и иных сферах. В качестве приоритетных выделяются следующие направления:
По соблюдению интересов личности в информационной сфере;
Совершенствованию правовых механизмов регулирования общественных отношений в информационной сфере;
Защите национальных духовных ценностей, норм морали и общественной нравственности.
4. Предлагается усовершенствовать структуру законодательства в области обеспечения информационной безопасности, представляющую собой систему взаимосвязанных элементов, включающих совокупность нормативных и ведомственных актов, позволяющую наглядно представить множество отношений в информационной сфере и сфере информационной безопасности, сложности их регулирования.
5. Организационно-правовые компоненты системы обеспечения информационной безопасности в органах внутренних дел, в том числе содержание организации их деятельности (с позиции ее правового регулирования), представленные структурой необходимых и взаимосвязанных элементов и включающие:
Субъекты обеспечения безопасности Российской Федерации;
Объекты информационной безопасности органов внутренних дел;
Организацию деятельности органов внутренних дел;
Формы, методы и средства обеспечения информационной безопасности.
6. Содержание организации деятельности органов внутренних дел по обеспечению информационной безопасности (с позиции ее правового регулирования), представляющее собой целенаправленный непрерывный процесс в части, касающейся анализа, разработки, проведения правовых, организационных, технических и иных мероприятий, связанных со сферой информационной безопасности, а также обеспечением прав и законных интересов граждан.
Практическая значимость диссертационного исследования заключается:
В использовании предложений при разработке новых нормативных актов и совершенствовании действующего законодательства в информационной сфере деятельности органов государственной власти субъектов Российской Федерации, ведомств, министерств;
Повышении эффективности деятельности органов внутренних дел по обеспечению информационной безопасности;
Совершенствовании подготовки специалистов в системе высшего профессионального образования, повышении квалификации специалистов в области комплексной защиты информации и правового регулирования информационной безопасности в интересах различных министерств и ведомств на основе разработки варианта учебно-методического обеспечения;
Разработке научно-методических рекомендаций по использованию правового и организационного инструментария обучения обеспечения информационной безопасности в учебном процессе, позволяющих обеспечить необходимый уровень подготовки специалистов по правовым основам информационной безопасности.
Апробация, внедрение результатов исследований и публикации.
Теоретические положения, выводы, предложения и практические рекомендации, изложенные в настоящем исследовании, докладывались и обсуждались на 8 и 9 Международных конференциях в Академии управления МВД
России "Информатизация правоохранительных систем" (г. Москва, 1999-2000 гг.), Межвузовской региональной конференции "Всеобщая декларация прав человека: проблемы совершенствования российского законодательства и практика его применения" в Академии управления МВД России (г. Москва, 1999 г.), научном семинаре "Проблемы федерализма в развитии российской государственности" и Международной научно-практической конференции "Правоохранительная деятельность на транспорте: итоги и перспективы", проводимых на базе Орловского юридического института МВД России (г. Орел, 1999 г.). По результатам исследования были опубликованы восемь научных работ общим объемом 8 печатных листов.
Структура и объем диссертации обусловлены логикой проведенного исследования и состоят из введения, двух глав, заключения списка использованной литературы и приложения.
Понятие и сущность информационной безопасности
Составной частью предмета науки и научных исследований, в том числе и развивающегося научного направления защиты информации и правового регулирования информационной безопасности, является его понятийный аппарат. Естественно, что одним из центральных понятий в этой предметной области является понятие "информация"1, которое может быть отнесено к абстрактным категориям и первичным понятиям. Анализ вышеназванного понятия дает представление его понимания в общесистемном, философском смысле (информация есть отражение материального мира)А до наиболее узкого, технократического и прагматического смысла (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования) .
В ряде работ под информацией понимаются определенные свойства материи, воспринимаемые управляющей системой как из окружающего внешнего материального мира, так и из процессов, происходящих в самой системе. Существует взгляд отождествляющих понятий "информация" и "сообщение", в котором информация определяется как существенная для получателя часть сообщения, а сообщение - как материальный носитель информации, один из конкретных элементов конечного или бесконечного множества, передаваемых по каналу связи и воспринимаемых на приемном конце системы связи некоторым получателем.
Можно в какой-то степени обратиться к известному содержанию понятия "информация", определенному Р. Шенноном, где информацией называют количество непредсказуемого, содержащегося в сообщении. Количество есть мера того нового, которое данное сообщение вносит в сферу, окружающую получателя.
В Федеральном законе "Об информации, информатизации и защите информации" приводится достаточно обобщенная дефиниция данного понятия и ее производных. Так, информация представляется как сведения о предметах, объектах, явлениях, процессах, независимо от формы их представления. Это родовое понятие информации используется и для формирования его производных дефиниций, используемых в других нормативных правовых актах1 . Рассмотрим некоторые из них более подробно.
Документированная информация (документы) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством.
Массовая информация - предназначенные для неограниченного круга лиц печатные, аудиосообщения, аудиовизуальные и иные сообщения и материалы.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).
Информационные продукты (продукция) - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Компьютерная информация - информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети".
В статье 128 Гражданского кодекса информация определяется как объект гражданских правоотношений. Анализируя информацию с этих позиций, необходимо обращать внимание на аспект, связанный с юридической защитой информации как объекта права собственности5. Такой подход к информации объясняется тем, что, с одной стороны, историческим и традиционным объектом права собственности является материальный объект, с другой -информация, не являясь материальным объектом окружающего мира, неразрывно связана с материальным носителем: это мозг человека или отчужденные от человека материальные носители (книга, дискета и др.)
Рассматривая информацию как отражение действительности объектом окружающего мира, можно говорить об информации как об абстрактной субстанции, которая существует сама по себе, но для нас ни хранение, ни передача информации без материального носителя невозможны. Известно, что информация, с одной стороны, как объект права собственности копируема (тиражируема) за счет материального носителя1, с другой - как объект права собственности легко перемещается от одного к следующему субъекту права собственности без очевидного (заметного) нарушения права собственности на информацию. Но перемещение материального объекта права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первоначальным субъектом права собственности. При этом очевидно нарушение его права собственности. Необходимо отметить, что нарушение этого права имеет место лишь в случае неправомерного перемещения того или иного материального объекта1. Опасность копирования и перемещения информации усугубляется тем, что она обычно отчуждаема от собственника, т. е. хранится и обрабатывается в сфере доступности большого числа субъектов, не являющихся субъектами права собственности на эту информацию. Сюда относятся, например, автоматизированные системы, в том числе и сети. Возникает сложная система взаимоотношений между субъектами права собственности, обусловливающая способы их реализации, и, следовательно, направления формирования системы правовой защиты, которые обеспечивают предотвращение нарушений прав собственности на информацию.
Проанализировав особенности информации как объекта права собственности, можно сделать вывод, что в остальном информация ничем не отличается от традиционных объектов права собственности. Проведенный анализ содержания информации, в том числе и как объекта права, позволил выделить ее основные виды, подлежащие правовой защите (прил. 1): - сведения, отнесенные к государственной тайне уполномоченными органами на основании Закона РФ "О государственной тайне"; - конфиденциальная документированная информация - собственника информационных ресурсов или уполномоченного лица на основании Федерального закона "Об информации, информатизации и защите информации "; - персональные данные.
Основные направления деятельности государства по обеспечению информационной безопасности
Тенденции конституционного развития таковы, что они акцентируют внимание на проблему природы конституционного законодательства. Наряду с актуальными в настоящее время вопросами приоритета прав и свобод человека гражданского общества, власти и ее организации на первое место выходит проблема "государственных режимов и состояний" - обеспечение безопасности (информационной безопасности как составной части), обороны, чрезвычайного положения и т. п.1
Необходимость конституционного регулирования обеспечения информационной безопасности очевидна. Ведь информационная безопасность личности - это ни что иное, как защищенность конституционных прав и свобод человека. А одним из направлений государственной политики в сфере информационной безопасности являются соблюдение и реализация конституционных прав человека и гражданина в рассматриваемой сфере. Во-первых, согласно Закону РФ " О безопасности" безопасность достигается проведением единой государственной политики в области обеспечения безопасности. Очевидно, что и информационная безопасность достигается проведением государственной политики в области обеспечения информационной безопасности РФ. Названная политика в свою очередь определяет основные направления деятельности государства в обсуждаемой сфере и заслуживает определенного внимания.
Во-вторых, актуальность исследования основных направлений деятельности государства в рассматриваемой сфере обусловливается следующим: - необходимостью развития и совершенствования конституционного законодательства, обеспечивающего оптимальное сочетание приоритетов интересов личности, ведомств и в целом государства в рамках одного из направлений по обеспечению информационной безопасности; - совершенствованием деятельности государства по реализации своих функций обеспечения безопасности всех субъектов информационных отношений; - потребностью граждан в защите своих интересов в информационной сфере; - необходимостью формирования единого правового поля в сфере информационных отношений. Развитие государственной политики в сфере обеспечения информационной безопасности находит свое отражение в последовательной разработке и развитии Концепции национальной безопасности Российской Федерации. Ее особенностями являются следующие положения: - ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры; - национальный информационный ресурс является в настоящее время одним из главных источников экономической и военной мощи государства; - проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения; - все более актуальный характер приобретают вопросы обеспечения информационной безопасности Российской Федерации как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач; - система национальных интересов России в области экономики, социальной, внутриполитической, международной, информационной сферах, в области военной, пограничной и экологической безопасности определяется совокупностью сбалансированных интересов личности, общества и государства; - государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ в этой области. Концепция также определяет национальные интересы России в информационной сфере1, которые направлены на сосредоточение усилий общества и государства в решении следующих задач: - соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею; - защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности; - обеспечение права граждан на получение достоверной информации; - развитие современных телекоммуникационных технологий.
Планомерная деятельность государства по реализации указанных задач позволит Российской Федерации стать одним из центров мирового развития и формирования информационного общества, обеспечивающего потребности личности, общества, государства в информационной сфере, в том числе их защиту от разрушающего воздействия информации для манипулирования массовым сознанием, а также необходимую защиту государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.
С учетом перечисленных положений можно выделить следующие принципы, на которых должна основываться государственная политика обеспечения информационной безопасности Российской Федерации:
Соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных норм международного права при осуществлении деятельности по обеспечению информационной безопасности страны;
Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающегося на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
Открытость, предусматривающая реализацию функций федеральных органов государственной власти и органов государственной власти субъектов РФ, общественных объединений, включающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
Приоритетность развития отечественных современных информационных и телекоммуникационных технологий, производства технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.
Организация деятельности органов внутренних дел по обеспечению информационной безопасности
Для обеспечения информационной безопасности необходимо наличие соответствующих органов, организаций, ведомств и обеспечение их эффективного функционирования. Совокупность этих органов составляет систему безопасности. Для выявления особенностей организации и деятельности органов внутренних дел по обеспечению информационной безопасности рассмотрим систему безопасности в целом.
Согласно Закону Российской Федерации "О безопасности" систему безопасности, а следовательно и информационной безопасности образуют: - органы законодательной, исполнительной и судебной властей; государственные, общественные и иные организации и объединения; граждане, принимающие участие в обеспечении безопасности; - законодательство, регламентирующее отношения в сфере безопасности. Указанный закон закрепляет лишь организационную структуру системы безопасности. Сама же система обеспечения безопасности намного шире. Ее рассмотрение не представляется возможным, так как выходит за рамки диссертационного исследования. Поэтому рассмотрим лишь организационную структуру системы безопасности. Анализ действующих нормативных правовых актов позволил выделить в качестве субъектов обеспечения безопасности, представляющих организационную структуру системы информационной безопасности1, следующие компоненты: - федеральные органы государственной власти; органы государственной власти субъектов Российской Федерации; органы местного самоуправления, решающие задачи в области обеспечения информационной безопасности в пределах своей компетенции; - государственные и межведомственные комиссии и советы, специализирующиеся на решении проблем обеспечения информационной безопасности; - структурные и межотраслевые подразделения по защите конфиденциальной информации органов государственной власти Российской Федерации, а также структурные подразделения предприятий, осуществляющие работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся на проведении работ в области защиты информации; - научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности; - учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности; - граждане, общественные и иные организации, обладающие правами и обязанностями по обеспечению информационной безопасности в установленном законом порядке;
Основными функциями рассмотренной системы информационной безопасности Российской Федерации являются1: - разработка и реализация стратегии обеспечения информационной безопасности; - создание условий для реализации прав граждан и организаций на разрешенную законом деятельность в информационной сфере; - оценка состояния информационной безопасности в стране; выявление источников внутренних и внешних угроз информационной безопасности; определение приоритетных направлений предотвращения, парирования и нейтрализации этих угроз; - координация и контроль деятельности системы обеспечения информационной безопасности; - организация разработки федеральных и ведомственных программ обеспечения информационной безопасности и координация работ по их реализации; - проведение единой технической политики в области обеспечения информационной безопасности; - организация фундаментальных, поисковых и прикладных научных исследований в области информационной безопасности; - обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в области защиты информации и сертификации средств защиты информации; - осуществление международного сотрудничества в сфере информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Анализ структуры и функций системы информационной безопасности, с учетом сложившейся системы разделения властей, позволил выявить следующее: 1) основной целью системы информационной безопасности является защита конституционных прав и свобод граждан; 2) государство является главным и основным субъектом обеспечения информационной безопасности; 3) общее руководство субъектами обеспечения информационной безопасности в рамках определенных полномочий осуществляет Президент Российской Федерации. К его полномочиям в сфере обеспечения информационной безопасности относятся: - осуществление руководства и взаимодействия органов государственной власти; - контроль и координация деятельности органов обеспечения информационной безопасности; - определение жизненно важных интересов Российской Федерации в информационной сфере; - определение внутренних и внешних угроз этим интересам; - определение основных направлений стратегии обеспечения информационной безопасности. 4) Федеральное Собрание Российской Федерации формирует на основе Конституции Российской Федерации законодательную базу в сфере информационной безопасности; 5) Правительство Российской Федерации в пределах своих полномочий обеспечивает руководство государственными органами обеспечения информационной безопасности, организует и контролирует разработку и реализацию мероприятий по обеспечению информационной безопасности министерствами и другими подведомственными ему органами; 6) органы судебной власти также являются субъектами обеспечения информационной безопасности. Они обеспечивают судебную защиту граждан, права которых были нарушены в связи с деятельностью по обеспечению информационной безопасности, осуществляют правосудие по делам о преступлениях в информационной сфере; 7) особая роль в обеспечении безопасности государства, в том числе и информационной безопасности, принадлежит Совету безопасности Российской Федерации. Это конституционный орган, не обладающий статусом федерального органа исполнительной власти, но наделенный достаточными полномочиями в сфере обеспечения безопасности. Совет безопасности является единственным совещательным органом при Президенте Российской Федерации, создание которого предусмотрено действующей Конституцией.
Формы и методы обеспечения информационной безопасности в органах внутренних дел
Рассмотренные в предыдущем параграфе вопросы организации системы защиты, в том числе направления обеспечения информационной безопасности, предполагают уточнение содержания задач обеспечения информационной безопасности, методов, средств и форм их решения.
Формы, методы и средства рассматриваются через призму правового регулирования деятельности по обеспечению информационной безопасности, которая неразрывно связана с ними, и следовательно, требует уточнения и определения правовых границ их использования. Кроме того, решение любой теоретической или практической задачи невозможно без определенных способов - методов и средств.
Выбор соответствующих методов и средств обеспечения информационной безопасности предлагается предпринимать в рамках создания такой системы защиты информации, которая гарантировшіа бы признание и защиту основных прав и свобод граждан; формирование и развитие правового государства, политической, экономической, социальной стабильности общества; сохранение национальных ценностей и традиций.
При этом такая система должна обеспечивать защиту информации, включающую сведения, составляющие государственную, коммерческую, служебную и иные охраняемые законом тайны, с учетом особенностей защищаемой информации в области регламентации, организации и осуществления защиты. В рамках этого многообразия видов защищаемой информации, по мнению автора, можно выделить следующие наиболее общие признаки защиты любого вида охраняемой информации1: - защиту информации организует и проводит собственник или владелец информации или уполномоченные им на то лица (юридические или физические); - организация эффективной защиты информации позволяет собственнику защитить свои права на владение и распоряжение информацией, стремиться оградить ее от незаконного владения и использования в ущерб его интересам; - защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющих несанкционированный, незаконный доступ к защищенной информации и ее носителям.
Для исключения доступа к защищаемой информации посторонних лиц, собственник информации, осуществляющий ее защиту, в том числе ее засекречивание, устанавливает определенный режим, правила ее защиты, определяет формы и методы защиты. Таким образом, защита информации представляет собой надлежащее обеспечение обращения защищаемой информации в специальной, ограниченной режимными мерами сфере. Это подтверждается рядом подходов известных ученых2, рассматривающих защиту информации как "регулярное использование средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации
С учетом содержания этого определения, а также других определений понятия защиты информации и выделенных в них основных целей защиты информации, включающих предупреждение уничтожения или искажения информации; предупреждение несанкционированного получения и размножения информации, можно выделить основную задачу защиты информации в органах внутренних дел. Это сохранение секретности защищаемой информации.
В системе комплексной защиты информации решение этой задачи осуществляется относительно уровней защиты и дестабилизирующих факторов. А формирование относительно полного множества задач по этим группам осуществляется на основе анализа объективных возможностей реализации поставленных целей защиты, обеспечивающих требуемую степень информационной безопасности. Учитывая рассмотренные положения, задачи можно разделить на две основные группы:
1) своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой и иной деятельности, то есть обеспечение специалистов органов внутренних дел конфиденциальной информацией;
2) ограждение засекреченной информации от несанкционированного доступа к ней других субъектов.
При решении первой группы задач - обеспечение специалистов информацией - необходимо учитывать, что специалисты могут использовать как открытую, так и конфиденциальную информацию. Обеспечение открытой информацией ничем не ограничивается, кроме ее фактического наличия. При обеспечении секретной информацией действуют ограничения, предусматривающие наличие допуска к информации соответствующей степени секретности и разрешения на доступ к конкретной информации. Анализ действующей практики и нормативных правовых актов, определяющих порядок доступа специалиста к соответствующей информации, позволил выделить ряд противоречий. С одной стороны, максимальное ограничение доступа к засекреченной информации уменьшает вероятность утечки этой информации, с другой - для обоснованного и эффективного решения служебных задач необходимо наиболее полное удовлетворение потребностей специалиста в информации. В обычных, нережимных условиях, специалист имеет возможность использовать в целях решения стоящей перед ним проблемы разнообразную информацию. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой.
Вторая группа задач предполагает защиту конфиденциальной информации от несанкционированного доступа к ней посторонних лиц. Она является общей как для органов внутренних дел, так и для всех органов государственной власти и включает:
1) защиту информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала;
2) создание условий эффективного использования информационных ресурсов общества и государства;
3) обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации;
4) сохранение конфиденциальности информации в соответствии с установленными правилами ее защиты, в том числе предупреждения утечки и несанкционированного доступа к ее носителям, предотвращение ее копирования, модификации и др.;
5) сохранение полноты, достоверности, целостности информации и ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.
|
Министерство внутренних дел РФ Московский университет факультет заочного и вечернего обучения Малый Ивановский пер. дом. 2 |
|||||
|
Кафедра «Юриспруденция» |
|||||
|
Адрес места жительства: |
Ф. Горбатов |
||||
|
Московская область |
|||||
|
Истринский район |
О. Сергеевич |
||||
|
п. Кострово ул. Центральная |
Курс 2 (набор) 2009 г. (6 лет) |
||||
|
д. 15 кв. 39 |
№ группы 2 |
||||
|
№ зачетной книжки 7029 |
|||||
|
Контрольная работа «Основы информационной безопасности в ОВД» |
|||||
|
(наименование дисциплины) |
|||||
|
Тема вариант № 29 |
|||||
|
Дата получения работы секретариатом |
Дата получения работы кафедрой |
||||
|
Дата сдачи работы секретариатом |
Дата окончания проверки работы |
||||
|
преподавателем |
|||||
Современные технические и программные средства сетевой защиты компьютерной информации.
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
Технические (аппаратные) средства . Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, "перекрывающих" потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
По степени распространения и доступности выделяются программные средства, поэтому далее они рассматриваются более подробно. Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.
Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяженным последовательным линиям, от утечки. Шифрование образует последний, практически непреодолимый "рубеж" защиты от НСД. Понятие "шифрование" часто употребляется в связи с более общим понятием криптографии. Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации. Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника (установление авторства c помощью цифровой подписи).
Число используемых программ шифрования ограничено, причем часть из них являются стандартами де-факто или де-юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование (расшифрование) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации (plain text в англоязычной литературе) с использованием ключа (или двух ключей – по одному для шифрования и дешифрования). В конечном счете, любой сложный метод (алгоритм) шифрования представляет собой комбинацию относительно простых методов.
Классические алгоритмы шифрования данных
Имеются следующие "классические" методы шифрования:
подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);
перестановка (простая, усложненная);
гаммирование (смешивание с короткой, длинной или неограниченной маской).
Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя Sк, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа.
Подстановка предполагает использование альтернативного алфавита (или нескольких) вместо исходного. В случае простой подстановки для символов английского алфавита можно предложить, например, следующую замену (см. табл. 1).
Таблица 1. Пример замены символов при подстановке
Исходный алфавит
A B C D E F G H I J … X Y Z
Альтернативный алфавит
S O U H K T L X N W … A P J
Перестановка потенциально обеспечивает большую по сравнению с подстановкой устойчивость к дешифрованию и выполняется с использованием цифрового ключа или эквивалентного ключевого слова, как это показано на следующем примере. Цифровой ключ состоит из неповторяющихся цифр, а соответствующее ему ключевое слово – из неповторяющихся символов. Исходный текст (plain text) записывается под ключом построчно. Зашифрованное сообщение (cipher text) выписывается по столбцам в том порядке, как это предписывают цифры ключа или в том порядке, в котором расположены отдельные символы ключевого слова.
Гаммирование (смешивание с маской) основано на побитном сложении по модулю 2 (в соответствии с логикой ИСКЛЮЧАЮЩЕЕ ИЛИ) исходного сообщения с заранее выбранной двоичной последовательностью (маской). Компактным представлением маски могут служить числа в десятичной системе счисления или некоторый текст (в данном случае рассматривается внутренние коды символов – для английского текста таблица ASCII). На рис. 9.2 показано, как исходный символ "A" при сложении с маской 0110 10012 переходит в символ "(" в зашифрованном сообщении.
Операция суммирования по модулю 2 (ИСКЛЮЧАЮЩЕЕ ИЛИ) является обратимой, так что при сложении с той же маской (ключом) зашифрованного сообщения получается исходный текст (происходит дешифрование). В качестве маски (ключа) могут использоваться константы типа или e. Наибольшую устойчивость к дешифрованию может обеспечить применение маски с бесконечной длиной, которая образована генератором случайных (точнее, псевдослучайных) последовательностей. Такой генератор легко реализуется аппаратными или программными средствами, например, с помощью сдвигового регистра с обратными связями, который используется при вычислении помехоустойчивого циклического кода. Точное воспроизведение псевдослучайной последовательности в генераторе на приемном конце линии обеспечивается при установке такого же исходного состояния (содержимого сдвигового регистра) и той же структуры обратных связей, что и в генераторе на передающем конце.
Перечисленные "классические" методы шифрования (подстановка, перестановка и гаммирование) являются линейными в том смысле, что длина зашифрованного сообщения равна длине исходного текста. Возможно нелинейное преобразование типа подстановки вместо исходных символов (или целых слов, фраз, предложений) заранее выбранных комбинаций символов другой длины. Эффективна также защита информации методом рассечения-разнесения, когда исходные данные разбиваются на блоки, каждый из которых не несет полезной информации, и эти блоки хранятся и передаются независимо друг от друга. Для текстовой информации отбор данных для таких блоков может производиться по группам, которые включают фиксированное число бит, меньшее, чем число бит на символ в таблице кодировки. В последнее время становится популярной так называемая компьютерная стеганография (от греческих слов steganos – секрет, тайна и graphy – запись), представляющая собой сокрытие сообщения или файла в другом сообщении или файле. Например, можно спрятать зашифрованный аудио- или видеофайл в большом информационном или графическом файле. Объем файла – контейнера должен быть больше объема исходного файла не менее чем в восемь раз. Примерами распространенных программ, реализующих компьютерную стеганографию, являются S – Tools (для ОС Windows’95/NT). и Steganos for Windows’95. Собственно шифрование информации осуществляется с применением стандартных или нестандартных алгоритмов.
Программные средства защиты информации
Встроенные средства защиты информации в сетевых ОС доступны, но не всегда могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надежную "эшелонированную" защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance – система устойчивости к отказам) компании Novell включает три основные уровня:
SFT Level I предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как "плохой" и в дальнейшем не используется.
SFT Level II содержит дополнительные возможности создания "зеркальных" дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
SFT Level III позволяет применять в локальной сети дублированные серверы, один из которых является "главным", а второй, содержащий копию всей информации, вступает в работу в случае выхода "главного" сервера из строя.
Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней:
уровень начального доступа (включает имя и пароль пользователя, систему учетных ограничений – таких как явное разрешение или запрещение работы, допустимое время работы в сети, место на жестком диске, занимаемое личными файлами данного пользователя, и т.д.);
уровень прав пользователей (ограничения на выполнение отдельных операций и/или на работу данного пользователя, как члена подразделения, в определенных частях файловой системы сети);
уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций, в том числе удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);
уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).
Однако полагаться на эту часть системы защиты информации в ОС NetWare можно не всегда. Свидетельством тому являются многочисленные инструкции в Интернете и готовые доступные программы, позволяющие взломать те или иные элементы защиты от несанкционированного доступа.
То же замечание справедливо по отношению к более поздним версиям ОС NetWare (вплоть до последней 6-й версии) и к другим "мощным" сетевым ОС со встроенными средствами защиты информации (Windows NT, UNIX). Дело в том, что защита информации – это только часть тех многочисленных задач, которые решаются сетевыми ОС. Усовершенствование одной из функций в ущерб другим (при понятных разумных ограничениях на объем, занимаемый данной ОС на жестком диске) не может быть магистральным направлением развития таких программных продуктов общего назначения, которыми являются сетевые ОС. В то же время в связи с остротой проблемы защиты информации наблюдается тенденция интеграции (встраивания) отдельных, хорошо зарекомендовавших себя и ставших стандартными средств в сетевые ОС, или разработка собственных "фирменных" аналогов известным программам защиты информации. Так, в сетевой ОС NetWare 4.1 предусмотрена возможность кодирования данных по принципу "открытого ключа" (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.
Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.
Firewalls – брандмауэры (дословно firewall – огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и JavaScript).
Несанкционированное копирование программ как тип несанкционированного доступа. Юридические аспекты несанкционированного копирования программ. Способы защиты от копирования.
Несанкционированное копирование конфиденциальной информации - в процессе работы каждой компании неизбежны случаи утечки конфиденциальной информации. Несмотря на то, что защитные системы, отвечающие за хранение и доступ к внутренней информации, постоянно совершенствуются, проблема продолжает существовать. Организации несут огромные потери из за несанкционированного распространения конфиденциальной информации. Несанкционированное копирование может осуществляться посредством изъятия средств компьютерной техники; перехвата информации; несанкционированного доступа к технике, а также манипуляции данными и управляющими командами.
Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Общий объект данных преступлений общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.
Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.
К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.
Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.
Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией ее видоизменение с появлением новых, нежелательных свойств. Копирование это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокупность компьютеров с их единым организационно-техническим обеспечением, а сетью объединение систем ЭВМ, действующих на определенной территории.
Программные продукты и компьютерные базы данных являются предметом интеллектуального труда специалистов высокой квалификации. Процесс проектирования и реализации программных продуктов характеризуется значительными материальными и трудовыми затратами, основан на использовании наукоемких технологий и инструментария, требует применения и соответствующего уровня дорогостоящей вычислительной техники. Это обусловливает необходимость принятия мер по защите интересов разработчика программ и создателей компьютерных баз данных от несанкционированного их использования.
Программное обеспечение является объектом защиты также и в связи со сложностью и трудоемкостью восстановления его работоспособности, значимостью программного обеспечения для работы информационной системы.
Защита программного обеспечения преследует цели:
Ограничение несанкционированного доступа к программам или их преднамеренное разрушение и хищение;
Исключение несанкционированного копирования (тиражирования) программ.
Программный продукт и базы данных должны быть защищены по нескольким направлениям от воздействия:
1) человека - хищение машинных носителей и документации программного обеспечения; нарушение работоспособности программного продукта и др.;
2) аппаратуры - подключение к компьютеру аппаратных средств для считывания программ и данных или их физического разрушения;
3) специализированных программ - приведение программного продукта или базы данных в неработоспособное состояние (например, вирусное заражение), несанкционированное копирование программ и базы данных и т.д.
Самый простой и доступный способ защиты программных продуктов и базы данных - ограничение доступа. Контроль доступа к программному продукту и базе данных строится путем:
Парольной защиты программ при их запуске;
Использования ключевой дискеты для запуска программ;
Ограничения программ или данных, функций обработки, доступных пользователям, и др.
Могут также использоваться и криптографические методы защиты информации базы данных или головных программных модулей.
Программные системы защиты от несанкционированного копирования.
Данные системы предотвращают нелицензионное использование программных продуктов и баз данных. Программа выполняется только при опознании некоторого уникального некопируемого ключевого элемента.
Таким ключевым элементом могут быть:
Дискета, на которой записан не подлежащий копированию ключ;
Определенные характеристики аппаратуры компьютера;
Специальное устройство (электронный ключ), подключаемое к компьютеру и предназначенное для выдачи опознавательного кода.
Программные системы защиты от копирования программных продуктов:
идентифицируют среду, из которой будет запускаться программа;
устанавливают соответствие среды, из которой запущена программа, той, для которой
разрешен санкционированный запуск;
вырабатывают реакцию на запуск из несанкционированной среды;
регистрируют санкционированное копирование;
противодействуют изучению алгоритмов и программ работы системы.
Для идентификации запускающих дискет применяются следующие методы:
1) нанесение повреждений на поверхность дискеты ("лазерная дыра"), которая с трудом может быть воспроизведена в несанкционированной копии дискеты;
2) нестандартное форматирование запускающей дискеты.
Идентификация среды компьютера обеспечивается за счет:
1) закрепления месторасположения программ на жестком магнитном диске (так называемые неперемещаемые программы);
2) привязки к номеру BIOS (расчет и запоминание с последующей проверкой при запуске контрольной суммы системы);
3) привязки к аппаратному (электронному) ключу, вставляемому в порт ввода-вывода, и др.
На Западе наиболее популярны методы правовой защиты программных продуктов и баз данных.
Правовые методы защиты программных продуктов и баз данных
Правовые методы защиты программ включают:
Патентную защиту;
Закон о производственных секретах;
Лицензионные соглашения и контракты;
Экономические права, дающие их обладателям право на получение экономических выгод от продажи или использования программных продуктов и баз данных;
Моральные права, обеспечивающие защиту личности автора в его произведении.
Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Но, к сожалению, само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты.
Патентная защита устанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.
Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т.п.). Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.
Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав.
Лицензия - договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программного продукта или базы данных; лицензиат извлекает доходы за счет их применения.
В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий. На каждой копии программы должны быть те же отметки, что и на оригинале:
Знак патентной защиты или производственного секрета;
Торговые марки, соответствующие использованным в программе другим программным изделиям (обычно и название фирмы-разработчика программного продукта);
Символ зарегистрированного права на распространение программного продукта (обычно ®).
Существует несколько типов лицензий на программные продукты
Исключительная лицензия - продажа всех имущественных прав на программный продукт или базу данных, покупателю лицензии предоставляется исключительное право на их использование, а автор или владелец патента отказывается от самостоятельного их применения или предоставления другим лицам.
Это самый дорогой вид лицензии, к нему прибегают для монопольного владения с целью извлечения дополнительной прибыли либо с целью прекращения существования на рынке программных средств программного продукта.
Простая лицензия - лицензиар предоставляет право лицензиату использовать программный продукт или базу данных, оставляя за собой право применять их и предоставлять на аналогичных условиях неограниченному числу лиц (лицензиат при этом не может сам выдавать сублицензии, может лишь продать копии приобретенного программного продукта или базы данных).
Такой вид лицензии приобретают дилер (торговец) либо фирмы-производители, использующие купленные лицензии как сопутствующий товар к основному виду деятельности. Например, многие производители и фирмы, торгующие компьютерной техникой, осуществляют продажу вычислительной техники с установленным лицензионным программным обеспечением (операционная система, текстовый редактор, электронная таблица, графические пакеты и т.д.).
Этикеточная лицензия - лицензия на одну копию программного продукта или базы данных. Данный тип лицензии применяется при розничной продаже. Каждый официальный покупатель заключает лицензионное соглашение с продавцом на их использование, но при этом сохраняется авторское право разработчика.
Экономические отношения между лицензиаром и лицензиатом могут строиться различным образом. За право пользования программным продуктом или базой данных выплачивается единовременное вознаграждение (паушальный платеж) которое и является фактической ценой лицензии. Возможны и периодические отчисления лицензиару за право пользования в виде роялти - фиксированная ставка в определенные интервалы времени в течение действия лицензионного соглашения, как правило, процент от стоимости программных продуктов или баз данных.
Список используемой литературы:
Безопасность краевого детского центра Созвездие
Реферат >> Безопасность жизнедеятельности... безопасности . В основе ее... Органы ОВД имеют чёткое... Информационный сборник «Краевой детский центр «Созвездие» ПОЛОЖЕНИЕ О ГОСУДАРСТВЕННОЙ ИНСПЕКЦИИ БЕЗОПАСНОСТИ ... по пожарной безопасности проводится в рамках первичного инструктажа по технике безопасности ...
Степень выраженности личностных характеристик у женщин-сотрудников ОВД МВД России
Дипломная работа >> ПсихологияЖенщин-сотрудников ОВД Методологическую и теоретическую основу исследования составили... чаще в результате воздействия информационного давления), с большей... безопасность , зрелость, социальная культура, духовность (рис.4). Рис.4. Распределение сотрудниц ОВД по ...
Социальная защита сотрудников в органах внутренних дел (на примере УВД по Амурской области)
Дипломная работа >> СоциологияСотрудников ОВД 1.1 Правовые основы деятельности сотрудников ОВД 1.2 ... планируется по следующим направлениям: информационное обеспечение: ... ОВД являются представителями власти и осуществляют деятельность по обеспечению личной и общественной безопасности , по ...
Закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Белоглазов Е.Г. и др. Основы информационной безопасности органов внутренних дел: Учебное пособие. – М.: МосУ МВД России, 2005.
Н.И.Журавленко, В.Е.Кадулин, К.К.Борзунов. Основы информационной безопасности: Учебное пособие. – М.: МосУ МВД России. 2007.
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академи-че-ский Проект; Гаудеамус, 2007.
Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия–Телеком, 2000.
Э. Бот, К. Зихерт. Безопасность Windows. – СПб.: Питер, 2006.
Прохода А.Н. Обеспечение интернет-безопасности. Практикум: Учебное пособие для вузов. – М.: Горячая линия–Телеком, 2007.
Торокин А.А. Инженерно-техническая защита информации: Учебное пособие. – М.: «Гелиос АРВ», 2005.ОВД по району Коптево г. ... Основы автоматизации управления в ОВД под ред. Минаева В.А., Полежаева В.П. – М.: Академия МВД России, 1993. Информационное ...
Министерство внутренних дел Российской Федерации
Санкт-Петербургский университет
Кафедра специальных информационных технологий
УТВЕРЖДАЮ
начальник кафедры СИТ
полковник полиции
А.И. Примакин
Рабочая лекция по дисциплине Основы информационной безопасности в ОВД
по теме 1/2 «Основы обеспечения информационной безопасности в ОВД»
Санкт-Петербург
2013 г.
введение
учебные вопросы:
1. Основные термины и определения информационной безопасности.
2. Основные принципы и условия обеспечения информационной безопасности.
Заключение
Контрольные вопросы
Литература
Введение
В предыдущей лекции нами были рассмотрены основные направления государственной политики в области информатизации общества. Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки, искажения, блокирования систем и средств передачи информации, а так же защита сведений конфиденциального характера и государственной тайны. С внедрением в жизнь обывателей информационных технологий мир встал перед проблемой новых информационных отношений связанных с безопасностью информации и информационных процессов.
1. Основные термины и определения информационной безопасности 1
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Система защиты информации. Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Политика безопасности (информации в организации). Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Безопасность информации [данных]. Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
К видам защиты информации относятся:
1. Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
2. Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
3. Техническая защита информации. ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
4. Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования.
Примечания
1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
К способам защиты информации будут относиться:
С пособ защиты информации. Порядок и правила применения определенных принципов и средств защиты информации.
1. Защита информации от утечки. Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.
Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2. З ащита информации от несанкционированного воздействия. ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
3. Защита информации от непреднамеренного воздействия. Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
4. Защита информации от разглашения. Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
5. Защита информации от несанкционированного доступа. ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Примечание.
Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
6. Защита информации от преднамеренного воздействия. ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
7. Защита информации от [иностранной] разведки. Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
К объекту защиты информации относятся
Объект защиты информации. Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
1. Защищаемая информация. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание
Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2. Носитель защищаемой информации . Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
3. Защищаемый объект информатизации. Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
4. Защищаемая информационная система . Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
К угрозам безопасности информации
Угроза (безопасности информации). Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Фактор, воздействующий на защищаемую информацию. Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
Источник угрозы безопасности информации. Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
Уязвимость (информационной системы); брешь . Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Примечания
1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
2. Если уязвимость соответствует угрозе, то существует риск .
1. Вредоносная программа. Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
2. Несанкционированное воздействие на информацию : Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
3. Преднамеренное силовое электромагнитное воздействие на информацию : Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
4. Модель угроз (безопасности информации). Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Примечание
Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.
К способам оценки соответствия требованиям по защите информации относятся:
Оценка соответствия требованиям по защите информации . Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
Лицензирование в области защиты информации . Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
Сертификация на соответствие требованиям по безопасности информации. Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Примечание
К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.
Мониторинг безопасности информации . Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
Анализ информационного риска . Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.
Эффективность защиты информации . Степень соответствия результатов защиты информации цели защиты информации.
Требование по защите информации. Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.
Показатель эффективности защиты информации . Мера или характеристика для оценки эффективности защиты информации.
Норма эффективности защиты информации . Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
2. Основные принципы и условия обеспечения информационной безопасности.
В самом общем смысле информационная безопасность такое состояние информации и среды, которое исключает вред собственнику или владельцу этой информации. В зависимости от того, кто является собственником, встречаются, например, такие определения:
Анализ того, отчего и в чем может выражаться вред собственнику информации, приводит к стандартной модели безопасности , включающей три категории:
- конфиденциальность;
- целостность;
- доступность.
Конфиденциальность это доступность информации только определенному кругу лиц.
Целостность свойство сохранности информация в определенном необходимом виде.
Доступность возможность использования информации собственником при необходимости.
Информационная безопасность определяется способностью государства, общества, личности:
- обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
- противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
- вырабатывать личностные и групповые навыки и умения безопасного поведения;
- поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Цели и задачи системы информационной безопасности
Целью защиты информации является сведение к минимуму потерь, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Основными задачами системы информационной безопасности (ИБ) являются:
- своевременное выявление и устранение угроз безопасности ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу;
- создание механизма и условий оперативного реагирования на угрозы безопасности;
- эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для минимизации и локализации возможного ущерба, ослабления негативного влияния последствий.
Для формирования более детального представления необходимо знание основных принципов организации системы информационной безопасности.
Первым и наиболее важным является принцип непрерывного совершенствования системы информационной безопасности . Суть этого принципа заключается в постоянном выявлении слабых мест системы, которые возникают от изменения характера внутренних и внешних угроз.
Вторым является принцип комплексного использования всех доступных средств защиты во всех структурных элементах организации и на всех этапах работы с информацией. Комплексный характер защиты информации проистекает, прежде всего, из того, что злоумышленники всегда ищут самое слабое звено в системе безопасности.
Важными условиями обеспечения безопасности являются:
- законность,
- достаточность,
- соблюдение баланса интересов личности и организации,
- профессионализм представителей службы безопасности,
- подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности,
- взаимная ответственность персонала и руководства,
- взаимодействие с государственными правоохранительными органами.
Требования к защите информации
С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований .
Защита информации должна быть:
- централизованной ;
необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
Плановой ;
планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
- конкретной и целенаправленной ;
защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
Активной ;
защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
- надежной и универсальной , охватывать весь технологический комплекс информационной деятельности объекта;
методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
Нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
Открытой для изменения и дополнения мер обеспечения безопасности информации;
- экономически эффективной ;
затраты на систему защиты не должны превышать размеры возможного ущерба.
3. Понятие политики безопасности.
Политика безопасности организации (англ. о rganizational security policies ) совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.
Политикой безопасности можно назвать и простые правила использования ресурсов (уровень руководителей), и описания всех соединений и их особенностей (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы. Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.
Действия по управлению сложными организационно-техническими системами должны быть спланированы. Планирование информационной безопасности начинается после проведения анализа рисков и выбора средств защиты информации в соответствии с их ранжированием. Планирование это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Принципиально план защиты включает в себя две группы мероприятий по построению (формированию) системы защиты и по использованию сформированной системы для защиты информации.
Цель планирования:
- координация деятельности соответствующих подразделений по обеспечению информационной безопасности;
- наилучшее использование всех выделенных ресурсов;
- предотвращение ошибочных действий, могущих привести к снижению возможности достижения цели.
Различают два вида планирования : стратегическое или перспективное и тактическое или текущее.
Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.
Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом.
С тактическим планированием связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии планирования.
Планирование включает в себя определение, разработку или выбор:
- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
- требований к системе защиты информации;
- средств и способов функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
- совокупности мероприятий защиты, проводимых в различные периоды времени;
- порядка ввода в действие средств защиты;
- ответственности персонала;
- порядка пересмотра плана и модернизации системы защиты;
- совокупности документов, регламентирующих деятельность по защите информации.
Политика информационной безопасности определяет облик системы защиты информации совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.
Политика безопасности должна гарантировать , что для каждого вида проблем существует ответственный исполнитель . В связи с этим ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации . В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
Нужно уметь четко ответить на следующие вопросы:
- Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
- Можно ли узнать каждый компьютер «в лицо»?
- Можно ли обнаружить «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены?
- Какие задачи и с какой целью решаются на каждом компьютере?
- Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты? Ведь если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вреда.
- Каков порядок ремонта и технической профилактики компьютеров?
- Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
- Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?
Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.
Другими словами, защита информации начинается с постановки и решения организационных вопросов . Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
- появление дополнительных ограничений для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
- необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
- Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
- принятие только организационных мер обеспечения безопасности информации;
- использование только дополнительных технических средств защиты информации.
В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.
Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.
Комплекс мероприятий, необходимых для реализации защиты информации на объекте по времени проведения
Рассмотрим комплекс организационных мер , необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
По времени проведения:
- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
- периодически проводимые (через определенное время) мероприятия;
- мероприятия, проводимые при осуществлении или возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
- постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
Разовые мероприятия:
- общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
- разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
- внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
- оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
- разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну; выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
- организация пропускного режима;
- определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
- организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
- определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
- создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
- определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия:
- Распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
- Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
- Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
- Осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты (периодически с привлечением сторонних специалистов). На основе полученной в результате анализа информации принимать меры по совершенствованию системы защиты.
- Мероприятия по пересмотру состава и построения системы защиты.
Мероприятия, проводимые по необходимости:
- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
- мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).
Постоянно проводимые мероприятия:
- противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т. п.;
- явный и скрытый контроль за работой персонала системы;
- контроль за применением мер защиты.
Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонентов объекта:
Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информа ции и т. д.
Техника. Пересмотр «Плана защиты» может быть вызван подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения . Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.
Документы , регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.
Заключение
Итак, мы рассмотрели основные принципы и условия обеспечения информационной безопасности на объекте и связанную с ней политику безопасности. Зарубежный опыт показывает, что эффективной защитой организации от компьютерных преступлений является введение в ней должности специалиста по компьютерной безопасности (администратора по защите информации), либо создание специальных служб безопасности. Наличие такой службы в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, настоятельно рекомендуются следующие организационные меры:
для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;
определена ответственность за сохранность информационных ресурсов;
налажен периодический контроль за качеством защиты информации;
проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;
организация физической защиты СКТ.
Помимо организационных мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных случайных физических воздействий и преднамеренных действий с защищаемой информацией. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, устройства идентификации личности.
Контрольные вопросы.
- Перечислите виды защиты информации.
- Назовите объекты защиты информации и дайте их определения.
- Назовите способы защиты информации.
- Назовите свойства информации, составляющие модель информационной безопасности.
- Назовите основные принципы информационной безопасности.
- Перечислите условия и требования к защите информации.
- Дайте определения политики безопасности на объекте и сформулируйте требования, предъявляемые к плану защиты информации.
Литература
Основная :
- Аполлонский А. В., Домбровская Л. А., Примакин А. И., Смирнова О. Г., Основы информационной безопасности в ОВД: Учебник для вузов. СПб.: Университет МВД РФ, 2010.
- Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.
Дополнительная :
- Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.
- Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция правовые основы политика. Фонд «Университет». СПб 2001.
- Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. СПб.: Университет МВД РФ, 2004.
Лекция разработана доцентом кафедры специальных информационных технологий
полковником полиции О.Г. Смирновой
1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения»
Пути повышения уровня защищенности информации в АС
Правовые и морально-этические средства
Эти средства определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Законодательные и морально-этические средства противодействия являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально надежной) системы защиты на практике принципиально невозможно.
Даже при допущении возможности создания абсолютно надежных физических и технических средств защиты, перекрывающих все каналы, которые необходимо перекрыть, всегда остается возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих средств (администратора АС , администратора безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое «ядро безопасности». В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать ее можно только за счет организационных (кадровых) мероприятий, законодательных и морально-этических мер. Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему защиты до конца решить не удастся. Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты. Во-вторых, даже абсолютно надежный человек может допустить случайное, неумышленное нарушение.
К объектам информатизации в органах внутренних дел относят средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи, передачи данных и программные средства, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), а также служебные помещения, предназначенные для проведения совещаний, заседаний рабочих групп, конференций, обсуждений и переговоров по служебным вопросам.
Необходимо отметить, что ответственность за обоснованное предъявление организационных и технических требований по защите информации к объекту информатизации несет непосредственный руководитель подразделения, в распоряжении которого находится данный объект. Выполнение технических мероприятий по защите объекта информатизации возложено на подразделения технической защиты.
В органах внутренних дел постоянно идут процессы разработки и модернизации средств защиты информации, расширяются возможности, повышается надежность новых средств. На сегодняшний день в ОВД действуют комплексы защиты как речевой, так и компьютерной информации отечественного производства.
В зависимости от формы и содержания различают внешние и внутренние угрозы объектам технической защиты информации.
Внешняя безопасность включает защиту от стихийных бедствий (пожар, наводнение и т.п.), от проникновения в систему злоумышленников извне с целью хищения, получения доступа к информации или вывода системы из строя.
Применительно к органам внутренних дел к внешним угрозам можно отнести деятельность иностранных разведок, преступных сообществ, отдельных лиц, а также коммерческих и некоммерческих предприятий и организаций, которые имеют возможность осуществления несанкционированного доступа к информации в любой форме.
К внешним угрозам не без основания относят также воздействие вредоносных программ, действия которых направлены на нарушение работоспособности АС.
Обеспечение внутренней безопасности АС фокусируется на создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала для принуждения их к безусловному соблюдению установленной в организации дисциплины доступа к ресурсам системы (в том числе к информации). К внутренней безопасности также относят обучение пользователей с обязательной проверкой знаний, различные организационные мероприятия и т.д.
Среди внутренних угроз объектам технической защиты информации выделяют такие, как утечка информации по каналам, связанным с работой технических устройств и программного обеспечения, а также утечка информации по каналам, связанным с действиями людей, что может быть обусловлено невыполнением комплекса требуемых организационных и технических мер по защите информации на объектах информатизации.
Появление технического канала утечки информации зависит от ее вида. Среди них можно выделить группу каналов, которые связаны с речевой информацией и информацией, обрабатываемой компьютерными системами:
1) побочные электромагнитные излучения от технических средств и линий передачи информации (например, излучение монитора на базе электронно-лучевой трубки ПЭВМ или дисководов);
2) просмотр и копирование информации с экранов дисплеев с помощью оптических средств;
3) сигналы, обусловленные воздействием на технические средства высокочастотных сигналов разведывательной аппаратуры;
4) специальные электронные устройства перехвата информации («закладки»);
5) акустическое излучение речевого сигнала или сигнала, вызванного работой технических средств обработки информации (например, телетайп, принтер);
6) вибрационные сигналы, которые возникают при преобразовании из акустического при воздействии его на строительные конструкции и инженерно-технические коммуникации помещений.
Более подробно и конкретно различные аспекты обеспечения информационной безопасности органов внутренних дел планируется рассмотреть в рамках других тем дисциплины.
Д.В. Перегудов,
УВД по Липецкой области
ПРАВОВЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ В ДЕЯТЕЛЬНОСТИ ПОДРАЗДЕЛЕНИЙ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ
Обеспечение информационной безопасности в рамках системы органов внутренних дел представляет собой организационное объединение сил и средств, механизмов, способов и методов, функционирующих под контролем жесткого соблюдения действующих нормативно-правовых актов в области защиты информации. При этом проблема обеспечения информационной безопасности теснейшим образом связана не только с решением научно-технических задач, но и с вопросами правового регулирования отношений информатизации, развитием законодательной базы. В связи с этим, можно сделать вывод о том, что защита информации - это комплекс правовых, организационных и инженерно-технических мер (мероприятий), направленных на предотвращение утечки охраняемой информации, несанкционированного доступа к ней. В свою очередь, правовые аспекты защиты информации приобретают первостепенное значение в блоке мер защиты. Это связано с тем, что правовая регламентация отношений в сфере экономической безопасности предопределяет существование всех остальных мер как фундаментальная основа, разделяющая поведение субъектов (пользователей, собственников и иных лиц) информационных отношений на «возможное (разрешенное)» и «запрещенное» в отношении объекта - информации. Организационные и технические меры лишь упорядочиваются и узакониваются правовой базой.
В органах внутренних дел правовое обеспечение информационной безопасности строится на основе федерального законодательства Российской Федерации. Нормативно-правовая база на ведомственном уровне является преемственником Закона РФ «О государственной тайне», Закона РФ «Об информации, информационных технологиях и о защите информации», Указа Президента Российской Федерации от 03.04.1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации информационных средств, а также предоставления услуг в области шифрования информации», постановлений Правительства Российской Федерации от 15.04.1995 г. № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», от
26.06.1995 г. № 608 «О сертификации средств защиты информации», от 15.09.1993 г. № 912-51 «О государственной системе защиты информации Российской Федерации от иностранных разведок и от её утечки по техническим каналам», от 05.01.2004 г. № 3-1 «Об утверждении Инструкции по обеспечению режима секретности в Российской Федерации», а также на основе «Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам», утвержденных Решением Гостехкомиссии России от 23.05.1997 г. № 55, Решением Гостехкомиссии России от 03.10.1995 г. № 42 «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте», от 16.07.1996 г. № 49 «Модель иностранных технических разведок на период до 2010 года» («Модель ИТР-2010») и дру-
гих законодательных и иных нормативных правовых актов в области информационной безопасности, регламентирующих порядок и правила технической защиты информации в Российской Федерации.
Особенность информационного обеспечения в органах внутренних дел, в частности в подразделениях экономической безопасности, состоит в том, что сотрудники данных подразделений осуществляют свою деятельность в рамках работы и обращения с информацией, составляющей государственную тайну.
Государственная тайна - это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Подразделения экономической безопасности органов внутренних дел работают со сведениями в области оперативнорозыскной деятельности, т.е., основываясь на Законе РФ от 12.08.1995 г. № 144-ФЗ « Об оперативно-розыскной деятельности». Отнесение к сведениям, составляющим государственную тайну, производится в соответствии с Перечнем сведений, отнесенных к государственной тайне, утвержденным Указом Президента Российской Федерации от
30.11.1995 г. № 1203, и в соответствии с правилами отнесения сведений, составляющих государственную тайну, к различным степеням секретности, утвержденными постановлением Правительства Российской Федерации от 04.09.1995 г. № 870, а также на основании перечня сведений, подлежащих засекречиванию в системе МВД России, определяемого министром внутренних дел Российской Федерации. При этом допуск лиц к сведениям, составляющим государственную тайну, производится в соответствии с инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства Российской Федерации от 28.10.1995 г. № 1050. В органах внутренних дел приказом МВД России от 02.03.2002 г. № 200 ДСП оговаривается развернутый перечень сведений, подлежащих засекречиванию.
В свою очередь, подразделения БЭП также работают со сведениями, составляющими служебную тайну. К ним относится информация ограниченного распространения, доступ к которой ограничен органами государственной власти во избежание нанесения ущерба как органам внутренних дел, так и безопасности органов государственной власти Российской Федерации. Отнесение информации к служебным сведениям ограниченного распространения производится на основании Примерного перечня служебных сведений ограниченного распространения и документов, их содержащих, образующихся в процессе деятельности органов внутренних дел, определяемого министром внутренних дел Российской Федерации. В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» служебные сведения ограниченного распространения, циркулирующие в подразделениях БЭП, относятся к сведениям конфиденциального характера (конфиденциальной информации).
Основополагающими ведомственными нормативными актами в деятельности подразделений по борьбе с экономическими преступлениями в сфере обеспечения информационной безопасности являются приказ МВД России от 05.07.2001 г. № 029 «Об утверждении Временного наставления по технической защите информации в органах внутренних дел Российской Федерации и внутренних войсках Министерства внутренних дел Российской Федерации» и приказ МВД России от 15.03.2005 г. № 015 «Об утверждении Инструкции по обеспечению режима секретности в органах внутренних дел». Первый нормативный документ характеризует требования организационнотехнического плана защиты охраняемой законом информации в деятельности подразделений БЭП, в частности, определяет единые технико-математические меры защиты
информации во всех подразделениях органов внутренних дел, осуществляющих свою работу со сведениями, отнесенными к государственной и служебной тайнам. Приказ МВД России № 029:
Определяет объекты технической защиты информации, возможные угрозы данным объектам;
Устанавливает единый и неотъемлемый (обязательный) порядок реализации мероприятий технической защиты информации;
Устанавливает единообразную форму документов, оформляемых на объект информационной защиты, на основании которых при их обработке устанавливается режим технической защиты;
Определяет порядок контроля технической защиты и лицензирования в данной области.
Несмотря на то, что данный нормативный документ был выработан еще в 2001 году, в настоящее время в подразделениях экономической безопасности УВД по Липецкой области на районном уровне условия информационной деятельности не в полной мере соответствуют требованиям настоящего приказа. В первую очередь, это касается материального обеспечения объектами, на которых ведется обработка информации (электронно-вычислительная техника, технические средства приема, передачи и обработки информации: звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства тиражирования документов и другие), согласно установленным нормам положенности. Даже если такие объекты и имеются в подразделениях БЭП, то они - в единичных экземплярах и в моральном и техническом плане отстают от современных и передовых средств и технологий в этой области. В свою очередь, как недостаток следует также отметить о слабых знаниях сотрудников подразделений БЭП, эксплуатирующих объекты технической защиты информации, нормативного законодательства по технической защите информации при вступлении в должность и в течение всего периода исполнения своих служебных функциональных задач. При этом еще и сказывается постоянная текучесть кадров в данных подразделениях.
Приказ МВД России № 029-2001 г. в большей части связан с техническим обеспечением объектов информационной защиты, что включает в себя:
Установление их соответствия предъявляемым требованиям технической защиты и документальное закрепление проведенных технических мероприятий защиты информации, категорирование объектов;
Составление технических паспортов на данные объекты;
Разработку инструкции по обеспечению организационных (режимных) и
технических мер защиты информации;
Проведение специальных исследований, специальных проверок и обследований данных объектов;
Оформление предписания на эксплуатацию объекта;
Проведение аттестации объекта и мероприятий по контролю технической
защиты информации.
Как свидетельствует практика, в районных отделах внутренних дел в силу малочисленного количества объектов информационной защиты работа по технической защите охраняемой информации ведется формально и сводится лишь к оформлению однообразных документов, о смысловом значении которых не имеют представления сотрудники, эксплуатирующие объекты, в отношении которых должны действовать технические меры защиты информации в соответствии с приказом МВД России № 029-2001 г.
Более предметным и ответственным шагом в правовом поле стала разработка приказа № 015-2005 г., включившего в себя меры организационного и технического характера информационной защиты. Закрепленные в настоящем приказе требования ка-
саются охраны сведений, составляющих государственную тайну, и секретной служебной информации, касающейся текущей деятельности подразделений органа внутренних дел. Данный ведомственный акт устанавливает четкий и жесткий порядок обращения и использования объектов информационной защиты - режим, обязательный для исполнения всеми субъектами информационных отношений под угрозой наступления предусмотренной действующим законодательством ответственности. Приказ МВД России № 015-2005 г. регулирует отношения, связанные с приемом, обработкой, хранением, использованием, передачей значимой и охраняемой законом информации в подразделениях БЭП, контролем за соблюдением предписанных норм, определением мер ответственности за их нарушение, устанавливает единый порядок в отношениях с субъектами иных органов внутренних дел - внешними субъектами. Таким образом, правовая охрана объектов информационной защиты является основой для разработки и определения организационных и технических мер защиты информации в подразделениях БЭП.
Важным направлением в сфере законодательства по вопросам информационной безопасности в органах внутренних дел является определение юридической ответственности за совершение противоправного деяния в отношении объекта защиты.
В юридической науке и действующем законодательстве юридическая ответственность может выступать в четырех вариациях:
Гражданская;
Административная;
Дисциплинарная;
Уголовная.
Учитывая, что сотрудники БЭП, работающие со сведениями, составляющими государственную тайну, являются должностными лицами органа исполнительной власти, на них лежит бремя жесткой ответственности за разглашение данных сведений либо их утрату. В подобных случаях может быть лишь два вида ответственности:
1) дисциплинарная;
2) уголовная.
Их разграничение зависит лишь от характера совершенного правонарушения, и отличие состоит в специфических мерах наказания и особом порядке их применения.
Дисциплинарная ответственность заключается в наложении на сотрудника БЭП дисциплинарного взыскания полномочиями начальника органа внутренних дел. Дисциплинарными мерами наказания являются: предупреждение, выговор, строгий выговор, увольнение из органов внутренних дел. Однако в органах внутренних дел за нарушение приказа МВД России № 015-2005 г. предусмотрена строгая дисциплинарная ответственность, выражающейся в наложении на сотрудника последних трех из вышеперечисленных видов взыскания.
Дисциплинарная ответственность может применяться к сотруднику экономической безопасности в случае халатного отношения к исполнению своих должностных обязанностей, выразившегося в нарушении режима секретности, правил обращения со сведениями, относящимися к служебной тайне - конфиденциальной информации, не имея на это какого-либо противоправного умысла.
Наиболее жесткими мерами воздействия характеризуется уголовная ответственность, которая применяется в судебном порядке к лицу, виновному в совершении преступления, т.е. виновного, общественно-опасного деяния, предусмотренного Уголовным кодексом Российской Федерации. Основные виды преступлений в области защиты информации приведены в таблице.
Виды преступлений в области защиты информации
Статья УК РФ
Диспозиция статьи УК РФ
Мера наказания (санкция)
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронновычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети; Наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет;
то же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами; Наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев;
те же деяния, повлекшие по неосторожности тяжкие последствия наказываются лишением свободы на срок от трех до семи лет
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред; Наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет;
то же деяние, повлекшее по неосторожности тяжкие последствия наказывается лишением свободы на срок до четырех лет
Статья 275. Г осударственная измена Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации Наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Статья 276. Шпионаж Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства Наказываются лишением свободы на срок от десяти до двадцати лет
Статья 283. Разглашение государственной тайны 1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены; Наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
то же деяние, повлекшее по неосторожности тяжкие последствия наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет
Статья 284. Утрата документов, содержащих государственную тайну Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют го- Наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением
сударственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий
права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового
Из анализа таблицы видно, что преступлением могут признаваться деяния, связанные с нарушением порядка использования сведений, составляющих государственную тайну. В органах внутренних дел такие факты могут иметь место лишь при нарушении режима секретности. И по каждому факту таких проступков проводится служебная проверка.
Нарушением режима секретности в органах внутренних дел считается разглашение сведений, составляющих государственную тайну, т. е. предание огласке сотрудником, которому эти сведения были доверены по службе, в результате чего они стали достоянием посторонних лиц; либо утрата носителей сведений, составляющих государственную тайну, то есть выход (в том числе и временный) носителей сведений из владения сотрудника, которому они были доверены по службе, в результате чего стали либо могли стать достоянием посторонних лиц.
В случае выявления данных фактов руководитель отдела внутренних дел обязан проинформировать вышестоящее руководство, орган безопасности (подразделение ФСБ) и организовать проведение служебной проверки и розыск носителей сведений, составляющих государственную тайну, а также принять все меры по локализации возможного ущерба. Для проведения служебной проверки руководитель должен создать комиссию, которая в течение месяца должна:
1) установить обстоятельства разглашения сведений, составляющих государственную тайну, либо утраты носителей, содержащих такие сведения;
2) осуществить розыск утраченных носителей;
3) установить лиц, виновных в разглашении данных сведений либо утрате носителей;
4) установить причины и условия, способствовавшие разглашению сведений, составляющих государственную тайну, утечке носителей, содержащих такие сведения, и выработать рекомендации по их устранению.
По результатам работы данной комиссии оформляется заключение служебной проверки с принятием конкретных мер к лицам, виновным в нарушении режима секретности.
Как свидетельствует практический опыт, случаи совершения оперативными сотрудниками преступлений, связанных с разглашением государственной тайны, крайне редки. Чаще всего встречаются случаи дисциплинарных проступков, совершаемых сотрудниками при халатном и ненадлежащем исполнении своих должностных обязанностей по соблюдению требований режима секретности.
Таким образом, анализируя правовую базу, призванную обеспечить юридическую защиту охраняемых законом интересов государства, общества, юридических и физических лиц в области информационных отношений, можно сделать вывод о том, что в органах внутренних дел она крайне слабая. В ее смысловом изложении отсутствует предметный подход к острой и серьезной проблеме защиты государственной и служебной тайн, хотя и имеются требования к обязательному соблюдению режимных мер информационной защиты, однако в практическом плане, особенно в районных подразделениях, контроль за исполнением обязывающих предписаний ведомственных нормативных актов МВД России, территориальных органов внутренних дел практически отсутствует, работа по технической защищенности объектов информационной защиты ведется формально без учета конкретных характеристик объекта, материальное обеспечение техническими средствами защиты
информации не удовлетворяет потребностям и условиям деятельности оперативных подразделений БЭП. 95% всех нарушений, связанных с несоблюдением нормативных актов по обеспечению информационной защиты в органах внутренних дел, выявляются при проведении проверок вышестоящими органами.
Изложенное позволяет сделать вывод о необходимости совершенствования правового обеспечения защиты информации в деятельности как органов внутренних дел в целом, так и их подразделений экономической безопасности в частности.
