Лекции.Орг


Поиск:




Организационные и правовые методы защиты информации




В вычислительных системах и сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных системах и сетях должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т. е. должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в вычислительных системах и сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность [11].

Существует множество возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

- маскировка под зарегистрированного пользователя;

- использование программных ловушек;

- незаконное подключение к аппаратуре и линиям связи;

- злоумышленный вывод из строя механизмов защиты;

- внедрение и использование компьютерных вирусов и др.

Обеспечение безопасности информации в вычислительных системах и сетях и в автономно работающих компьютеров достигается комплексом организационных, правовых, технических и программных мер.

К организационным мерам защиты относятся:

1. Ограничение доступа в помещения, в которых происходит подготовка и обработка информации.

2. Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц.

3. Хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах.

4. Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т. д.

5. Использование криптографических кодов при передаче по каналам связи ценной информации.

6. Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Правовые методы защиты программ включают:

1. Патентную защиту.

2. Закон о производственных секретах.

3. Лицензионные соглашения и контракты.

4. Закон об авторском праве.

Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Однако само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты.

Патентная защита устанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.

Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т. п.). Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.

Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав. Лицензия – договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программы; лицензиат извлекает доходы за счет их применения. В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий.

Закон об авторском праве программного продукта признает автором физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его имущественных прав принадлежат личные авторские права: авторство, имя, неприкосновенность (целостность) программ. Программные продукты могут использоваться третьими лицами – пользователями на основании договора с правообладателем.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд особенностей, обусловленных следующими обстоятельствами:

- представлением информации в привычной и неудобочитаемой для человека двоичной форме;

- использованием носителей информации, записи на которых недоступны для простого визуального просмотра;

- возможностью многократного копирования информации без оставления каких-либо следов;

- легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т. п.;

- невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

- наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

- организационно-правовая основа защиты информации;

- технико-экономические аспекты организационно-правового обеспечения защиты;

- юридические аспекты организационно-правового обеспечения защиты.

Дадим краткую характеристику каждому классу.

Организационно-правовая основа защиты информации включает:

- определение подразделений и лиц, ответственных за организацию защиты информации;

- нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

- меры ответственности за нарушение правил защиты;

- порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

- фиксация на документе персональных идентификаторов (подписей) лиц, изготовивших документ и (или) несущих ответственность за него;

- фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

- возможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими санкции на доступ к ней, т. е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

- фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели:

- устанавливается обязательность соблюдения всеми лицами всех правил защиты информации;

- узакониваются меры ответственности за нарушение правил защиты;

- узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

- узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Таким образом, вся совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рисунке 4.10.

Рисунок 4.10. Общее содержание организационно-правового обеспечения защиты информации

Для обеспечения защиты информации необходимо создание законодательной основы. Поэтому в ведущих странах, в том числе и в России, этому вопросу уделяется достаточно большое внимание. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям [12].

1. Защита прав личности на частную жизнь. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:

- установление пределов вмешательства в частную жизнь с использованием компьютерных систем;

- введение административных механизмов защиты граждан от такого вмешательства.

Примерами документов, относящихся к этому направлению, являются резолюция Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенции ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1989 г.).

2. Защита государственных интересов. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран – членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.

3. Защита предпринимательской и финансовой деятельности. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и устанавливающего условия для осуществления «добросовестной» конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.

К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.).

В России законодательное регулирование процессов информатизации начало создаваться в начале 90-х годов. Необходимо было срочно законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности.

1991 год – начало активной законотворческой деятельности в этом направлении. Законодатели сконцентрировали свое внимание на следующих наиболее острых для России проблемах:

- проблеме права на информацию;

- проблеме собственности на некоторые виды информации;

- проблеме признания информации объектом товарного характера.

На сегодняшний день в «Декларации прав и свобод человека и гражданина», принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году, закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом.

Принят базовый закон Российской Федерации «Об информации, информатизации и защите информации», который занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике России:

- определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

- закрепляет права граждан, организаций, государства на информацию;

- устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов в информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом, порядка правовой защиты информации;

- развивает правовой режим признания за документами, полученными из информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;

- определяет информационные ресурсы как элемент состава имущества и объект права собственности;

- устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

- разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;

- устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается в отношении:

- сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

- конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

- персональных данных – отдельным федеральным законом.

Также приняты специальные законы «О государственной тайне», «О правовой охране программ ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации «О безопасности», принятом в марте 1992 года.





Поделиться с друзьями:


Дата добавления: 2017-02-25; Мы поможем в написании ваших работ!; просмотров: 5910 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Либо вы управляете вашим днем, либо день управляет вами. © Джим Рон
==> читать все изречения...

819 - | 677 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.013 с.