Тема 2: ПРАВОВОЕ РЕГУЛИРОВАНИЕ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Тема 2: ПРАВОВОЕ РЕГУЛИРОВАНИЕ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебные вопросы: Правовой режим информации. Информационно-правовые нормы Конституции РФ. Законы РФ и правовые акты о защите информации. Нормативные документы по защите информации. Лекция 2/1: Нормативно-правовое обеспечение информационной безопасности в РФ

Литература 1. Буйневич М.В., Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью. Учебное пособие. - СПб., 2005. – 266 с. 2. Буйневич М.В., Доценко С.М., Пономаренко А.В., Примакин А.И., Смирнова О.Г. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебное наглядное пособие (схемы и определения. СПб.: Санкт-Петербургский университет МВД России, 2006. 37 с.).

Учебный вопрос № 1 1. Правовой режим информации. Информационно-правовые нормы Конституции РФ Информация все в большей степени становится товаром, от наличия и сохранности которого зависит благополучие как отдельных граждан и организаций, так и общества в целом

ПРАВОВОЙ РЕЖИМ ИНФОРМАЦИИ 1. Права собственности, владения и распоряжения информацией. 2. Степень открытости информации (необходимость или возможность ее отнесения к категории ограниченного доступа). 3. Порядок отнесения информации к категории ограниченного доступа и перечень уполномоченных на это лиц.

4. Порядок документирования, доступа, хранения, контроля и распространения информации. 5. Нормы, регулирующие применение различных средств и методов обеспечения информационной безопасности. 6. Порядок привлечения к ответственности и меры наказания за нарушение установленных норм и правил в области информационных отношений. ПРАВОВОЙ РЕЖИМ ИНФОРМАЦИИ (продолжение)

Классификация нормативных актов по группам, регламентируемых ими вопросов 1. Разделение информации на категории открытого и ограниченного доступа. 2. Правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации. 3. Организацию работ по защите информации, структуру и основные функции государственной системы защиты информации (ГСЗИ), государственные органы управления в области информационной безопасности, их права и обязанности.

Классификация нормативных актов по группам, регламентируемых ими вопросов 4. Государственное лицензирование деятельности в области защиты информации. 5. Обязательность и порядок сертификации технических и программных средств, применяемых в информационных объектах для обработки защищаемой информации. 6. Обязательность и порядок аттестации информационных объектов, обрабатывающих информацию с ограниченным доступом.

Классификация нормативных актов по группам, регламентируемых ими вопросов 7. Необходимость и порядок создания специальных служб, обеспечивающих защиту информации с ограниченным доступом на информационных объектах. 8. Порядок контроля защищенности информации с принятием мер по приостановке обработки информации в случае невыполнения требований по защите информации. 9. Права и ответственность должностных лиц за охрану, и защиту информации. 10. Ответственность за противоправные действия в области информационных отношений.

Положение о государственной системе защиты информации в Российской Федерации (утверждено постановлением Правительства РФ от 15 сентября 1993 года № 912-51) Эту систему образуют: 1. Государственная техническая комиссия (Гостехкомиссия) России и ее центральный аппарат. 2. Региональные центры технической защиты информации (на территории России насчитывается 7 таких центров, находящихся в Москве, Санкт-Петербурге, Хабаровске, Новосибирске, Екатеринбурге, Волгограде и Астрахани). 3. Федеральная служба безопасности, Министерство внутренних дел Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Российской Федерации и их структурные подразделения по защите информации.

4. Структурные и межотраслевые подразделения по защите информации органов государственной власти. 5. Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации органов государственной власти. 6. Предприятия, проводящие работу по оборонной тематике и другие работы с использованием сведений, отнесенных к государственной тайне, их подразделения по защите информации. 7. Органы по аттестации объектов информатизации по требованиям безопасности информации, испытательные центры (лаборатории), органы по сертификации, лицензионные центры. 8. Высшие учебные заведения и курсы повышения квалификации по подготовке и переподготовке кадров в области защиты информации.

В соответствии с Положением о Государственной технической комиссии при Президенте Российской Федерации, утвержденным Указом Президента Российской Федерации от 19 февраля 1999 года № 212, повышен статус Гостехкомиссии России и существенно расширены ее полномочия. Теперь Гостехкомиссия России осуществляет межотраслевую координацию и функциональное регулирование деятельности субъектов ГСЗИ по обеспечению технической защиты информации, содержащей сведения, составляющие государственную и служебную тайну.

Еще более возросла роль Гостехкомиссии России в ГСЗИ в связи с принятием Указа Президента Российской Федерации от 29 ноября 1999 года № 1567 «О государственной системе противодействия иностранным техническим разведкам и технической защиты информации». Основная направленность указа - совершенствование системы защиты сведений, составляющих государственную и служебную тайну, в интересах обеспечения обороны и безопасности Российской Федерации. Неотъемлемой составной частью мероприятий по защите информации является технический контроль с применением соответствующих средств в целях проверки и оценки достаточности и эффективности мероприятий по защите информации от утечки по техническим каналам.

Задачи технического контроля Оценка достаточности и эффективности организационных и технических мероприятий по защите информации от утечки по техническим каналам; Проверка эффективности защиты информации от утечки по отдельным физическим полям и соответствующим типам аппаратуры съема и перехвата информационных сигналов; Определение зон возможного перехвата информации техническими средствами и др.

Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г) Статья 23. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 29. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Гарантируется свобода массовой информации. Цензура запрещается.

Статья 41. Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом. Статья 42. Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.

Статья 55. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Проблема обеспечения информационной безопасности в достаточной степени противоречива. С одной стороны, в соответствии со ст.29 Конституции РФ, «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом». С другой стороны ст.23 Конституции РФ провозглашает права граждан на «неприкосновенность частной жизни, личную и семейную тайну».

Учебный вопрос №2 Законы РФ и правовые акты о защите информации Правовое обеспечение информационной безопасности охватывает (должно охватывать) все многообразие юридических вопросов, возникающих в этой области и, следовательно, находит свое отражение в целом комплексе законодательных актов

Наиболее важные законодательные акты РФ в области информатизации закон «О средствах массовой информации» Патентный закон РФ закон «О правовой охране топологий интегральных микросхем» закон «О правовой охране программ для электронных вычислительных машин и баз данных» Основы законодательства об Архивном фонде РФ и архивах закон «Об авторском праве и смежных правах» закон «О государственной тайне» закон «Об обязательном экземпляре документов» закон «О связи» закон «Об информации, информационных технологиях и о защите информации» закон «Об участии в международном информационном обмене» закон «Об электронной цифровой подписи» и др.

Об информации, информатизации и защите информации (от 20 февраля 1995 № 24-ФЗ) Основная цель закона состоит в создании правовой основы отношений в области формирования и использования информационных ресурсов, в области информатизации, в решении вопроса о включении России в мировое сообщество. В главе 5 "Защита информации и прав субъектов в области информационных процессов и информатизации" формулируются следующие цели защиты: - предотвращение утечки, хищения, утраты, искажения, подделки информации; - предотвращение угроз безопасности личности, общества, государства; - защита конституционных прав граждан на сохранение личной тайны и конфи­денциальности персональных данных, имеющихся в информационных системах; - сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством и др.

Уголовный кодекс Российской Федерации (принят 24 мая 1996 г. и введен в действие с 1 января 1997 г.) Глава 28. Преступления в сфере компьютерной информации Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 9 сентября 2000 г. № ПР-1895) Раскрывает: 1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение. 2. Виды угроз информационной безопасности Российской Федерации. 3. Источники угроз информационной безопасности Российской Федерации. 4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению. 5. Общие методы обеспечения информационной безопасности Российской Федерации (Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические).

Об электронной цифровой подписи (от 10 января 2002 г. № 1-ФЗ) Раскрывает: 1. Правовое регулирование отношений в области использования электронной цифровой подписи. 2. Условия использования электронной цифровой подписи. 3. Статус и деятельность удостоверяющих центров. 4. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти. 5. Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи. 6. Обязательства владельца сертификата ключа подписи. 7. Особенности использования электронной цифровой подписи.

Об информации, информационных технологиях и о защите информации (от 27 июля 2006 года N 149-ФЗ) регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации.

Все разработанные Гостехкомиссией при Президенте РФ документы обязательны для исполнения только в государственном секторе. Для коммерческих структур они носят рекомендательно-консультативный характер Учебный вопрос №3 Нормативные документы по защите информации

Основные руководящие документы Гостехкомиссии при Президенте РФ 1. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации. 2. Защита от несанкционированного доступа. Термины и определения. 3. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 4. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации. 5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. 6. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации. 7. Защита информации. Специальные защитные знаки. Классификация и общие требования. 8. Защита от несанкционированного доступа к информации 9. Положение о государственном лицензировании деятельности в области защиты информации 10. Положение о сертификации средств защиты информации

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации В этом документе излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Содержанием документа является определение НСД, основные принципы защиты от НСД, модель нарушителя в автоматизированной системе, основные способы НСД, направления обеспечения защиты от НСД, основные характеристики технических средств защиты от НСД, классификация АС и организация работ по защите информации от НСД.

Защита от несанкционированного доступа. Термины и определения Этот документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение терминов-синонимов не допускается. В качестве справочных приведены иностранные эквиваленты русских терминов на английском языке.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации Этот руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации (7 классов защищенности) на базе перечня показателей защищенности и совокупности описывающих их требований

Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации Документ устанавливает классификацию автоматизированных систем (АС), подлежащих защите от НСД к информации, и требования по защите информации в АС различных классов (9 классов). Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34 680-90 и других документов. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники Устанавливает единый на территории Российской Федерации порядок исследований и разработок в области: - защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от НСД; - создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД, в том числе программных и технических средств защиты информации от НСД; - создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации».

Защита информации. Специальные защитные знаки. Классификация и общие требования Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки. Документ является руководством для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты по требованиям безопасности информации

Защита от несанкционированного доступа к информации Настоящий документ устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей. Действие документа не распространяется на программное обеспечение средств криптографической защиты информации. Кроме перечисленных разработана еще целая группа документов, посвященных вопросам лицензирования и сертификации средств защиты информации

Положение о государственном лицензировании деятельности в области защиты информации Документ устанавливает основные принципы, организационную структуру системы лицензирования деятельности предприятий в сфере оказания услуг в области защиты информации, а также правила осуществления лицензирования и надзора за деятельностью предприятий, получивших лицензию

Положение о сертификации средств защиты информации Настоящее Положение устанавливает порядок сертификации средств защиты информации, составляющей государственную тайну, в Российской Федерации. В развитие этого положения разработан целый ряд дополнительных, таких как, Положение о сертификации средств защиты информации по требованиям безопасности информации, Положение по аттестации объектов информатики по требованиям безопасности информации, Положение об аккредитации испытательных лабораторий экспертных комитетов по сертификации средств защиты информации по требованиям безопасности информации и ряд других

Задание на самостоятельную работу Государственная тайна и система ее защиты. Конфиденциальная информация и ее защита. [1-д], с. 35-67.

Вопросы для самоконтроля Что следует понимать под «правовым режимом информации»? Как Конституция РФ определяет права граждан на доступ к информации? Какие задачи решает Государственная техническая комиссия РФ при Президенте РФ? Назовите несколько наиболее важных законов, регламентирующих информационные отношения в обществе. Поясните разницу между собственником, владельцем и пользователем информации. Перечислите органы защиты государственной тайны. Какая информация, по закону, не может быть закрытой. Перечислите основные нормативные документы по защите информации. Укажите категории информации ограниченного доступа. Поясните смысл категории «коммерческая тайна».