Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Правовые основы защиты информации - файл 1.doc


Правовые основы защиты информации
скачать (87.5 kb.)

Доступные файлы (1):

1.doc88kb.24.11.2011 11:13скачать

содержание
Загрузка...

1.doc

Реклама MarketGid:
Загрузка...
Правовые основы защиты информации
Статья 21 Закона «Об информации, информатизации и защите информации» (№24-ФЗ от 25.01.95г.), гласит, что «защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Понятие информации с правовой точки зрения, как сведений о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, дается в ст. 2 данного закона. Важнейшее условие защиты информации – ее документированность (первая норма ст.4.2.).Документированная информация (документ) – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (ст. 2.).

Цели защиты информации:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

- обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

Собственник документа, массива документов, информационных систем или уполномоченные им лица в соответствии с законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документа, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством.

Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.

Защита прав субъектов в сфере формирования информационных ресурсов, пользования ими, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и на граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров.

Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Руководители и другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Однако ряд нормативных положений по защите информации в автоматизированных системах, разработанных ранее, не соответствует современным требованиям и современным информационным технологиям. Работы в этом направлении заметно отстают от потребностей и носят однобокий характер
(в основном сведены к защите информации от утечки по техническим каналам перехвата).

Пока еще отсутствует нормативно-правовая и методическая база для построения автоматизированных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.

Круг носителей информации определяется возможными Формами ее существования (представления):

- традиционная текстовая или графическая формы – в виде описаний и чертежей (рисунков),

- вещественная (предметная) форма – в виде образцов всевозможных изделий,

- машинная форма – в виде комбинаций, символов двоичной системы счисления,

- сигнальные формы – в виде параметра или комбинации параметров колебаний какого-либо физического процесса: электрического тока или напряжения, магнитного, электромагнитного, гравитационного, акустического и др. полей.

Следовательно, материальными носителями информации могут выступать:

- материалы и вещества (в т.ч. газообразные - запахи),

- физические процессы и поля (электрическое, магнитное, гравитационное, электромагнитное и др.).

Другим важным условием защиты информации является наличие реквизитов у документа. Реквизиты служат для обеспечения (подтверждения) подлинности документов, т.е. придают документам юридическую силу. Государственный стандарт РФ ГОСТ Р 6.30-2003 «Унифицированный системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов» определяет состав и порядок применения реквизитов документов. Всего в стандарте описаны 30 реквизитов. Примерами могут быть:Государственный герб РФ; Герб субъекта РФ; Эмблема организации или товарный знак и т.д.

При этом не обязательно, чтобы при документации были использованы все реквизиты. Набор реквизитов в различных документах моет быть различным. Следует иметь в виду, что текст документа – это главный реквизит.

Таким образом, определение документа, данное в ст. 2 Закона позволяет считать документом информацию в виде текста без каких – либо иных реквизитов типа подписей, дат и т.п. Такой документ (только в виде текста) подлежит защите по закону без проведения каких бы то ни было дополнительных процедур.

В делопроизводстве и архивном деле существует уточняющее для этих сфер деятельности понятие официального документа (по ГОСТ Р 51141-98). Официальным, т.е. имеющим право на использование в организации, считается только документ, «созданный юридическим или физическим лицом, оформленный и удостоверенный в установленном порядке». Для таких документов определены требования к минимальному составу реквизитов стандартами ГОСТ 6.10.4-84 и ГОСТ 6.10.5-87. Оба норматива устанавливают состав реквизитов, придающих документной записи юридическую силу документа с точки зрения делопроизводства и поэтому называемых обязательными. Таковыми являются: наименование организации, наименование документа, дата документа, индекс документа, код организации (ОКПО), код формы документа (ОКУД), подпись, местонахождение организации.

Понятие «реквизит документа» необходимо для определения момента наступления юридической ответственности за несанкционированные действия с документированной информацией.

Важнейшим реквизитом, подтверждающим подлинность электронных документов (ЭД), является электронная цифровая подпись (ЭЦП) – продукт высоких технологий, получаемы в результате криптографического преобразования защищаемого документа с использованием секретного (закрытого) ключа шифрования информации и проставляемы в ЭД. Впервые норма о возможности применения ЭЦП в качестве реквизита подтверждающего подлинность ЭД появилась в ст. 5 Закона №24-ФЗ-95г., впоследствии был принят специальный закон №1-ФЗ-2002 г. «Об электронной цифровой подписи», по которому ЭЦП признается равнозначной собственноручной подписи в документе на бумажном носителе.

Понимание порядка и правил документирования информации может уберечь ее собственника от лишних проблем. Одна из них касается информации в электронном виде. В любой организации для внутреннего использования или на домашнем компьютере частного лица, естественно, ЭЦП не пользуются. Отсюда вытекает, что потенциальный нарушитель может безбоязненно пользоваться такой информацией в электронном виде, не неся за это ответственности.

Право собственности на документы вводится в соответствии со второй нормой ст. 4.2. Закона № 24-ФЗ-95г. Вторая норма касается понятия имущественной собственности на информацию.

Введение понятия информации как материального имущества важнейшая особенность Закона «Об информации»: «Информационные ресурсы как элемент состава имущества…» - читаем мы в законе. «Информационные ресурсы могут быть товаром за исключением случаев, предусмотренных законодательством РФ» - читаем далее.

Законом «Об информации…» и Гражданским кодексом РФ определено, что информационные ресурсы, системы, технологии и средства их обеспечения могут быть объектами собственности физических, юридических лиц и государства.

Собственник – субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения.

Владелец – субъект, осуществляющий владение и пользование, реализующий полномочия распоряжения.

Пользователь – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Определены так же права и обязанности субъектов.

Собственник информационных ресурсов пользуется всеми правами, предусмотренными законодательством, в том числе:

- устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

- определять условия распоряжения документами при их копировании и распространении.

- устанавливать порядок предоставления информации пользователю,

- осуществлять контроль за выполнением требований по защите информации и запрещать обработку информации в случае невыполнения этих требований.

Владелец документов, информационных систем:

- обеспечивает пользователей информацией на основе законодательства, а также договоров на услуги по информационному обеспечению.

- обеспечивает уровень защиты информации в соответствии с законодательством РФ;

- обеспечивает соблюдение режима обработки и правил предоставления информации пользователю, установленных законодательством или собственником этих информационных ресурсов.

- несет юридическую ответственность за нарушение правил работы с информацией.

Пользователи обладают равными правами на доступ к государственным информационным ресурсам, не обязаны обосновывать необходимость получения запрашиваемой информации. Исключение составляет информация с ограниченным доступом.

Часто определенную сложность вызывает установление права собственности, т.е. определение собственника информационных ресурсов.

Закон «Об информации…» поясняет:

«Физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования».

Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организации в соответствии с компетенцией, подлежат учету и защите в составе государственного имущества.

Информационные ресурсы физических и юридических лиц, созданные или приобретенные на законных основаниях за счет средств собственных бюджетов, являются их собственностью, учитываются на праве материального имущества и могут быть переданы на возмездной или безвозмездной основе другим физическим и юридическим лицам или государству на праве собственности, владения или пользования.

Информационные ресурсы могут быть товаром, за исключением, случаев, предусмотренных законодательством РФ. Кроме того, статьей 128 Гражданского кодекса (ч.1) введено понятие интеллектуальной собственности как объекта имущественных прав: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность); нематериальные блага». Статья 138 ГК РФ несколько конкретизирует понятие интеллектуальной собственности: «В случаях и в порядке, установленных настоящим Кодексом и другими законами, признается исключительное право (интеллектуальная собственность) гражданина или юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации юридического лица, индивидуализации продукции, выполняемых работ или услуг (фирменное наименование, товарный знак, знак обслуживания и.т.п.)».

Таким образом, государство встало на защиту информационных имущественных прав собственника. В этом отношении представляют интерес для рассмотрения также информационные ресурсы открытого доступа, представляющие чисто материальную ценность. Примером такой информации может служить системное и прикладное программное обеспечение, базы и банки данных, архивные и библиотечные фонды.

Уничтожение, несанкционированная модификация или копирование такой информации может нанести существенный ущерб ее собственнику или владельцу. Однако, определение ответчика и адекватное возмещение ущерба возможно только в случае выполнения определенных требований по защите, таких как признание ее имущественной ценностью с определением ее стоимости, организации надлежащего учета и контроля, оформление передачи в пользование материально ответственному, умение определить ущерб.
^ Меры юридической ответственности за преступления и правонарушения в области защиты информации
Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются соответствующим гражданским законодательством.

Информационные ресурсы - отдельные Документы и отдельные массивы документов, документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, других информационных системах);

Информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Собственник информационных ресурсов, содержащих сведения, отнесенные к государственной тайне вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти. Субъекты, представляющие в обязательном порядке документированную информацию в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них. Документированная информация, представляемая в обязательном порядке в органы государственной власти и организации юридическими лицами независимо от их организационно правовой формы и форм собственности, а также гражданами на основании закона, формирует информационные ресурсы, находящиеся в совместном владении государства и субъектов, представляющих эту информацию.

Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных соответствующим законодательством. Право собственности на средства обработки информации не создает права собственности на информационные ресурсы, принадлежащие другим собственникам. Документы, обрабатываемые в порядке предоставления услужили при совместном использовании этих средств обработки, принадлежат их владельцу.
Принадлежность и режим производной продукции, создаваемой в этом случае, регулируются договором.

Государственные информационные ресурсы формируются гражданами, органами государственной власти, органами местного самоуправления, организациями и общественными объединениям. Документы, принадлежащие физическим и юридическим лицам, могут быть включены по желанию собственника в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.

Государственные информационные ресурсы - открыты и общедоступны.
Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

Информатизация - организационный социально-экономический и научно- технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов; Информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность, согласно законодательству, за нарушение режима защиты, обработки и порядка использования этой информации. При решении правовых вопросов в процессе внедрения современных информационных технологий, нельзя забывать о возможных нарушениях законных прав и интересов граждан в силу недобросовестного поведения пользователей таких систем, скажем, при несанкционированном использовании информации
(неправомочным должностным лицом или посторонним) или ее умышленном искажении.

Право граждан затребовать информацию касается документации федеральных органов исполнительно власти: министерств, административных и военных ведомств, правительственных корпораций и иных учреждений. Под действие этих законов не подпадает документация таких выборных должностей, как президент, вице-президент, сенаторы и члены палаты представителей конгресса. Кроме того, закон о свободе информации установил ряд ограничений на общие правила, оговорив конкретные категории информации, не выдаваемой гражданам по их запросам это:

- засекреченные документы;

- внутриведомственные служебные правила, инструкции, предписания;

- информация, не подлежащая разглашению в соответствии с другими законодательными актами;

- конфиденциальная деловая информация (коммерческая и финансовая информация о предпринимательской деятельности частных лиц и корпораций);

- внутриведомственная служебная корреспонденция;

- информация, затрагивающая частную жизнь человека;

- информация об оперативной и следственной работе правоохранительных органов;

- информация финансовых учреждений.

Регламентация доступа к информационным ресурсам

Информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации. Источником прибыли в этом случае является результат труда и вложенных средств при создании производной информации, но не исходная информация.

Порядок накопления и обработки документированной информации с ограниченным доступом, правила ее защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные массивы и вид информации, в соответствии с их компетенцией, либо непосредственно ее собственником, в соответствии с законодательством. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных законами.

Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных соответствующим законодательством иди собственником этих информационных ресурсов, в соответствии с законодательством. Владелец информационных ресурсов несет юридическую ответственность за нарушение правил работы с информацией в порядке, предусмотренном соответствующим законодательством.

Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно- технической и промышленной политикой информатизации.

Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.

Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства. Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом. Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков. Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.

Средства обеспечения информационных систем и их технологии – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;

Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;

Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам.
Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в установленном порядке.

Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется соответствующим законодательством. Предназначение вычислительной системы для широкого круга пользователей, создает определенный риск в плане безопасности, поскольку не все клиенты будут выполнять требования по ее обеспечению. Порядок хранения носителей информации должен быть четко определен в соответствующем правовом акте и предусматривать полную сохранность носителей информации, удобство отыскания необходимых носителей контроль за работой с информацией, ответственность за несанкционированный доступ к носителям информации с целью снятия с них копий, изменения или разрушения и т.д.

Можно скрыто получить доступ к информационным архивам, которые концентрируются в одно месте в больших объемах. Кроме того, появилась возможность дистанционного получения информации через терминалы, расположенные в удалении от мест хранения данных. Поэтому для защиты информации требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ЭВМ и других средств сбора, передачи и обработки данных. Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и производственная дисциплина персонала, доступ посторонних лиц к вычислительным ресурсам создает условия для злоупотреблений и вызывает трудности их обнаружения.

В каждом вычислительном центре принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.

Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:

- доступа к аппаратуре обработки информации;

- бесконтрольного выноса персоналом различных носителей информации;

- несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;

- незаконного пользования системами обработки информации и полученными данными;

- доступа в системы обработки информации посредством самодельных устройств;

- неправомочной передачи данных по каналам связи из информационно- вычислительного центра;

- бесконтрольный ввод данных в систему;

- обработка данных по заказу без соответствующего требования заказчика;

- неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Программное обеспечение состоит из трех компонент: замысла (основания, подосновы); собственно программ; сопровождающей документации.

Замысел (подоснова) - это идеи, концепции, алгоритмы, соображения по реализации и т.п.

Программа может выступать в одной из трех форм: исходный, объектный или исполняемый коды.

К документации относятся: руководство по использованию, блок диаграммы, книги по обучению; иногда сложное программное изделие, такое, как операционная система, сопровождается специальным аудиовизуальным курсом обучения.

Правовая защита программного обеспечения по своей проблематике во многом совпадает с более широкой задачей - правовой защитой интеллектуальной собственности.

В настоящее время имеется пять основных правовых механизмов защиты программного обеспечения: авторское право; патентное право; право промышленных тайн; право, относящееся к недобросовестным методам конкуренции; контрактное право.


Список литературы:


  1. Альбеков А.Ш. Правовые основы защиты информации экономического, финансового и персонального характера./Учеб. Пос. – Краснодар: ИЭУ, 2005.

  2. Альбеков А.Ш. Технологии защиты компьютерной информации экономического, финансового и персонального характера./ Учеб. Пос. – Краснодар: ИЭИУМиСС, 2006.

  3. Закон РФ «Об информации, информатизации и защите информации». СЗ РФ 1995 № 88. Ст. 609.

  4. Закон РФ «О государственной тайне». СЗ РФ. 1997. № 41. Ст. 4673.

  5. Закон РФ «О коммерческой тайне» № 98-ФЗ-2004

  6. Указ президента РФ №188 – 1997г. «Об утверждении перечня сведений конфиденциального характера».

  7. Закон РФ «Об электронной цифровой подписи» №1-ФЗ – 2002.

  8. Ярочкин. Инфомационная безопасность./Учебник. – М.: 2003






Скачать файл (87.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru