373 (641760), страница 2
Текст из файла (страница 2)
Информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации. Источником прибыли в этом случае является результат труда и вложенных средств при создании производной информации, но не исходная информация.
Порядок накопления и обработки документированной информации с ограниченным доступом, правила ее защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные массивы и вид информации, в соответствии с их компетенцией, либо непосредственно ее собственником, в соответствии с законодательством.
Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных законами.
Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных соответствующим законодательством иди собственником этих информационных ресурсов, в соответствии с законодательством. Владелец информационных ресурсов несет юридическую ответственность за нарушение правил работы с информацией в порядке, предусмотренном соответствующим законодательством.
Информационные системы как объект защиты информации
Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.
Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства. Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом.
Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков. Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.
Средства обеспечения информационных систем и их технологии - программные! технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам. Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством
Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в установленном порядке.
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется соответствующим законодательством.
Предназначение вычислительной системы для широкого круга пользователей, создает определенный риск в плане безопасности, поскольку не все клиенты будут выполнять требования по ее обеспечению.
Порядок хранения носителей информации должен быть четко определен в соответствующем правовом акте и предусматривать полную сохранность носителей информации, удобство отыскания необходимых носителей контроль за работой с информацией, ответственность за несанкционированный доступ к носителям информации с целью снятия с них копий, изменения или разрушения и т.д.
Можно скрыто получить доступ к информационным архивам, которые концентрируются в одно месте в больших объемах. Кроме того, появилась возможность дистанционного получения информации через терминалы, расположенные в удалении от мест хранения данных. Поэтому для защиты информации требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ЭВМ и других средств сбора, передачи и обработки данных. Особые мероприятия защиты необходимы, когда ресурсы ЭВМ используются несколькими абонентами через терминалы в многопрограммном режиме и в режиме разделения времени.
В этой главе возникает ряд правовых проблем, связанных с массивами информации, сконцентрированных в банках данных, и знаний, представляющих собой общественную и национальную ценность, а их содержание - национальный секрет. Использование такой информации не по назначению наносит значительный ущерб как обществу в целом, так и отдельной личности.
Уместно обратить внимание на правовые аспекты защиты информации, которые могут возникнуть при недостаточно продуманном или злонамеренном использовании электронно-вычислительной техники. К ним относятся:
1. Правовые вопросы защиты массивов информации от искажений и установления юридической ответственности по обеспечению сохранности информации. 2. Юридические и технические вопросы зашиты хранящейся информации от несанкционированного доступа к ней, исключающие возможность неправомерного использования ее.
3. Установление юридически закрепленных норм и методов защиты авторских прав и приоритетов разработчиков программного продукта.
4. Разработка мероприятий по приданию юридической силы документам, выдаваемым машинами, и формирование юридических норм, определяющих лиц, ответственных за доброкачественность других документов.
5. Правовая защита интересов экспертов, передающих свои знания в фонды банков данных.
6. Установление правовых норм и юридической ответственности за использование электронно-вычислительных средств в личных интересах, противоречащих интересам других личностей и общества и могущих нанести им вред.
Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и производственная дисциплина персонала, доступ посторонних лиц к вычислительным ресурсам создает условия для злоупотреблений и вызывает трудности их обнаружения.
В каждом вычислительном центре принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.
Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:
• доступа к аппаратуре обработки информации;
• бесконтрольного выноса персоналом различных носителей информации;
• несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;
• незаконного пользования системами обработки информации и полученными данными;
• доступа в системы обработки информации посредством самодельных устройств;
• неправомочной передачи данных по каналам связи из информационно-вычислительного центра;
• бесконтрольный ввод данных в систему;
• обработка данных по заказу без соответствующего требования заказчика;
• неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.
Целью защиты информации является:
• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
• обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.
Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.
Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
Собственник документа, массива документов, информационных систем или уполномоченные им лица в соответствии с законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Владелец документа, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством.
Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.
Защита прав субъектов в сфере формирования информационных ресурсов, пользования ими, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.
Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и на граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров.
Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.
Руководители и другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.
Однако ряд нормативных положений по защите информации в автоматизированных системах, разработанных ранее, не соответствует современным требованиям и современным информационным технологиям. Работы в этом направлении заметно отстают от потребностей и носят однобокий характер (в основном сведены к защите информации от утечки по техническим каналам перехвата).
Пока еще отсутствует нормативно-правовая и методическая база для построения автоматизированных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.
При разработке средств защиты возникает ряд проблем правового характера:
1. Лицензирование деятельности по разработке программно-аппаратных средств цифровой подписи. Система лицензирования направлена на создание условий, при которых право заниматься защитой информации предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Система сертификации направлена на защиту потребителя от недобросовестного исполнителя. В настоящее время фактически отсутствуют организационно-технические и организационно-методические документы по сертификации средств и комплексов защиты информации, в том числе связанных с криптографическими методами защиты.
3. Соответствие разрабатываемых средств защиты концептуальным требованиям к защите, стандартам и другим нормативным документам.
4. Отсутствие нормативно-правового обеспечения для решения спорных ситуаций с использованием цифровой подписи в арбитражном суде.
Круг нормативных и концептуальных документов в области защиты информации крайне ограничен, а имеющиеся документы не в полной мере отвечают современным требованиям. Нормативно-правовые документы, содержащие термины и определения, концепцию применения и алгоритмы выработки и проверки цифровой подписи отсутствуют.
Преступление в компьютерной сфере
Развитие вычислительной техники и ее широкое применение государственными органами и частными учреждениями привели к возникновению и распространению так называемых компьютерных преступлений. Такое положение вызывает беспокойство и в тех организациях, где применяется компьютерная техника, и в органах поддержания правопорядка, и среди широких слоев населения, пользующихся новыми видами информационного обслуживания.
Термин «компьютерная преступность» впервые был использован еще в начале 70-х годов. Однако до настоящего времени продолжается дискуссия о том, какие противозаконные действия подразумеваются под ним. Было предложено ряд уголовно-правовых определений компьютерной преступности. Часто оно трактуется как преступление, прямо или косвенно связанное с ЭВМ, включающее в себя целую серию незаконных актов, совершаемых либо с помощью системы электронной обработки данных, либо против нее. Другие под компьютерной преступностью подразумевают любое деяние, влекущее незаконное вмешательство в имущественные права, возникающее в связи с использованием ЭВМ. Третьи вкладывают в это определение все преднамеренные и противозаконные действия, которые приводят к нанесению ущерба имуществу, совершение которых стало возможным, прежде всего, благодаря электронной обработке информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
