Головна
загрузка...
Авторське право / Аграрне право / Адвокатура / Адміністративне право / Адміністративний процес / Бюджетна система / Гірське право / Цивільний процес / Цивільне право / Європейське право / Житлове право / Виборче право / Інформаційне право / Виконавче провадження / Історія політичних вчень / Конкурсне право / Конституційне право зарубіжних країн / Конституційне право Росії / Криміналістика / Міжнародне право / Спадкове право / Право власності / Право соціального забезпечення / Право юридичних осіб / Правознавство / Підприємницьке право / Сімейне право / Соціологія права / Судова психіатрія / Судова справа / Митне право / Теорія та історія держави і права / Трудове право / Кримінальне право / Кримінальний процес / Фінансове право / Екологічне право / Ювенальна юстиція / Юридична антропологія / Юридична техніка / Юридична етика
Головна >
Юридичні науки >
Інформаційне право >
« Попередня Наступна »
Бачило І.Л., Лопатин В.Н., Федотов М.А. . Інформаційне правоСПб.: Юридичний центр Прес, 2001. - 789 с. , 2001 - перейти до змісту підручника

15.1. Основні загрози інформаційним системам і прав на них

загрузка...

Джерела права про інформаційних системах. До основних джерел права відносяться:
а) норми законів - Цивільний кодекс РФ (розділи 1, 2); Кримінальний кодекс РФ (глава 28); Федеральний закон "Про обов'язковий примірник документів" від 29 грудня 1994 р. № 77 - ФЗ; Федеральний закон "Про інформацію, інформатизації і захисту інформації" від 20 лютого 1995 р. № 24-ФЗ; Федеральний закон "Про участь у міжнародному інформаційному обміні" від 4 липня 1996 року № 85-ФЗ; Федеральний закон "Про зв'язок" від 16 лютого 1995 р. № 15-ФЗ; Закон РФ "Про сертифікацію продукції і послуг" від 10 червня 1993 р. № 5151-1 (зі змінами та доповненнями, внесеними Федеральним законом від 27 грудня 1995 № 211-ФЗ);
б) підзаконні нормативні правові акти - "Концепція правової інформатизації Росії", затверджена Указом Президента Російської Федерації від 23 квітня 1993 р. № 477; Указ Президента Російської Федерації від 27 грудня 1993 р. № 2293
"Питання формування єдиного інформаційно-правового простору Співдружності Незалежних Держав"; Указ Президента Російської Федерації від 31 грудня 1993 р. № 2334 "Про додаткові гарантії права громадян на інформацію"; Указ Президента Російської Федерації від 20 січня 1994 р. № 170; Указ Президента Російської Федерації від 17 лютого 1994 р. № 328 "Питання діяльності Комітету при Президентові Російської Федерації з політики інформатизації"; Указ Президента Російської Федерації від 21 лютого 1994 р. № 361 " Про вдосконалення діяльності в області інформатизації органів державної влади Російської Федерації "; Указ Президента Російської Федерації від 1 липня 1994 р. № 1390" Про вдосконалення інформаційно-телекомунікаційного забезпечення органів державної влади та порядку їх взаємодії при реалізації державної політики у сфері інформатизації "; Президентська програма "Правова інформатизація органів державної влади Російської Федерації", затверджена Указом Президента Російської Федерації від 4 серпня 1995 р. № 808; Постанова Уряду РФ від 12 січня 1996 р. № 11 "Про поліпшення інформаційного забезпечення населення Російської Федерації"; відомчі нормативні акти (" Основні напрямки інформатизації Збройних Сил Російської Федерації ", схвалені Міноборони Російської Федерації; концепція створення єдиної телекомунікаційної системи Міноборони Росії" Широта "; концепція створення інформаційно-телекомунікаційної системи спеціального призначення (ІТКМ) ФАПСИ);
в) Міжнародні договори та угоди - Концепція формування інформаційного простору СНД, затверджена рішенням Ради Глав Урядів СНД від 18 жовтня 1996;
Рекомендаційний законодавчий акт МПА СНД "Про засади регулювання
інформаційних відносин у державах - учасницях Міжпарламентської Асамблеї "
від 23 травня 1993;
Рекомендація РЄ (1970)" Про засоби масової комунікації та права людини ";
Конвенція (108) ЄС від 28.01.81 "Про захист особистості стосовно автоматизованої
обробки персональних даних";
Рекомендація РЄ (1984) "Про діяльність Ради Європи, що відноситься до засобів
масової комунікації";
Рішення 87/95/ЕЕС від 22.12.86 (стандартизація в галузі інформаційної технології і
зв'язку);
Рекомендація РЄ (1989) "Про Європейської Конвенції з транскордонного телебачення";
Конвенція РЄ (1989) "Європейська Конвенція про транскордонне телебачення";
Резолюція РЄ (1990) "Про розвиток телекомунікацій в Європі";
Декларація РЄ (1991) "Про політику в галузі засобів масової комунікації в
мінливої ??Європі ";
Директива 91/2 5 Про / ЄС" Про правовий захист комп'ютерних програм ";
Директива 91/1 О / ЄС "Про права на оренду, позику та інші суміжні права, авторські права в
області інтелектуальної власності";
Директива 91/83 / ЄС "Про координацію певних постанов щодо авторських
і суміжних прав при передачі через супутники і по кабельних мережах";
Директива 95/46/ЄС від 24.10.95 "Про захист особистості при автоматичній обробці
персональних даних і про вільне звернення цих даних";
Директива 96/9/ЄС "Про правовий захист баз даних";
Директива 97/13/ЕС (ліцензії в галузі зв'язку);
Директива 97/33/ЕС (взаємодія через відкриті мережі);
Директива 97/66/ЄС від 15.12.97 (обробка персональних даних і захист
конфіденційної інформації в секторі зв'язку) і ін
Сьогодні існує безліч класифікацій видів загроз, серед яких розрізняють:
погрози щодо інформації, що циркулює в інформаційних системах, і загрози
власне інформаційним системам; зовнішні та внутрішні загрози; за джерелами
загроз, за ??принципами і способом їх впливу на інформаційні системи, за цілями
впливу і по використовуваних при цьому засобам і т. д.
Одночасно з посиленням залежності розвитку людства від інформатизації
активізуються спроби звернути цю залежність на свою користь, як з боку
високорозвинених країн, так і з боку тих, хто серйозно відстає від цих процесів. Так,
наприклад, в США не приховують своїх претензій на світове лідерство, в тому
числі шляхом завоювання переваги в цій сфері. У той же час, за оцінками
американських експертів, від 30 до 50 держав вважають США об'єктом комп'ютерного
шпигунства. Так, ще в червні 1996 року на проведених слуханнях у Конгресі США було
зазначено, що захист американських інформаційних та телекомунікаційних систем від
інформаційного впливу є однією з головних складових забезпечення
національній безпеці країни. З метою посилення координації робіт, що проводяться в
даному напрямку колишнім директором ЦРУ Д. Дейчем тоді було висловлено
пропозицію щодо створення при Агентстві національної безпеки (АНБ) США
спеціального центру для ведення інформаційної війни і відображення загроз у зазначеній
області.
За оцінкою ФАПСИ-зовнішня загроза інформаційної безпеки в національних
інформаційно-телекомунікаційних системах може проявлятися в наступних
формах:
збір конфіденційної інформації в різних системах зв'язку, в тому числі шляхом
несанкціонованого доступу (НСД) в комп'ютерні мережі;
використання, в основному, імпортних апаратних і програмно-апаратних комплексів при створенні вітчизняних інформаційно-телекомунікаційних систем, що істотно збільшує можливості іноземних спецслужб отримувати важливу конфіденційну інформацію з наших телекомунікаційних систем (ФАПСИ має відомості про так званих "прихованих функціональних можливостях" програмного забезпечення та інших засоби і методи перехоплення інформації , які можуть бути закладені в телекомунікаційні системи. Актуальною проблемою в даній області є виявлення в програмному продукті іноземного виробництва прихованих функціональних можливостей, у тому числі коштів конспіративного (негласного) знімання інформації, що реалізують деструктивні функції в системі);
спроби просування на російський ринок зарубіжних засобів захисту інформації, розроблених, в більшості своїй, з урахуванням інтересів іноземних спецслужб. (У зв'язку з цим
принципово неприпустимо використання для закриття державно значимої інформації імпортних засобів шифрування. Саме така норма міститься в законодавстві США, де заборонено використовувати технічні та програмні засоби зарубіжного виробництва в інтересах забезпечення національної безпеки); використання інформаційної зброї проти інформаційних систем (що розглядалося в першому розділі);
підключення до відкритих інформаційних систем, у тому числі Інтернет, поряд з прогресом в просуванні до єдиного інформаційного простору таїть в собі і специфічні небезпеки для національних інформаційних систем. Поряд з проявами зовнішньої загрози втручання в інформаційні системи існують і внутрішні загрози. Серед них прийнято виділяти:
спроби проникнення "хакерів" в комп'ютерні мережі органів державної влади, банків, підприємств і т. п.;
втрата конфіденційних повідомлень, переданих засобами документальної електрозв'язку, крадіжки та знищення банківської інформації та програмного забезпечення систем електронних платежів, відправка фальшивих авізо з використанням кодів підтвердження достовірності міжбанківських операцій і можливостей локальних мереж комерційних банків. За даними фахівців США, зняття елементів захисту інформації з комп'ютерних систем призведе до розорення 20% середніх компаній протягом декількох годин, 48% зазнають краху через кілька днів, 33% банків "лусне" через кілька годин, 50% - через кілька днів. Сумарний щорічний збиток від комп'ютерних злочинів тільки в країнах Західної Європи становить близько 30 млрд дол У Росії збитків від комп'ютерних злочинів досі інтегрально не підраховували, але з урахуванням їх можливих масштабів сума збитку видається дуже значною. У зв'язку з цим комп'ютерна злочинність стає найважливішою проблемою як для Росії, так і для всього світового співтовариства.
Поряд з цим до внутрішніх загроз, на думку професора Ліпаева В. В. - автора багатьох книг про відкриті системах, слід віднести ненавмисні дефекти самих інформаційних систем і дії операторів, що може також призвести до виникнення нештатних ситуацій в інформаційних системах. За джерелами загроз безпеки всі загрози можна розділити натри групи.-Антропогенні (безпосередньо створені людьми) - ненавмисні або навмисні дії: обслуговуючого персоналу та управлінського персоналу, програмістів, користувачів, архівної служби, служби безпеки інформаційної системи; дії несанкціонованих користувачів (діяльність іноземних розвідувальних і спеціальних служб, кримінальних структур, недобросовісних партнерів і конкурентів, а також протизаконна діяльність інших окремих осіб). Техногенні (неякісні технічні та програмні засоби обробки інформації; засоби зв'язку, охорони, сигналізації; інші технічні засоби,
застосовуються в установі; глобальні техногенні загрози (небезпечні виробництва, мережі енерго-, водопостачання, каналізації, транспорт і т. п.), що призводять до пропажі або коливанням електроживлення та інших засобів забезпечення і функціонування, відмовам і збоїв апаратно-програмних засобів, електромагнітні випромінювання і наводки, витоку через канали зв'язку (оптичні, електричні, звукові) і т. п.) . Природні (стихійні лиха, магнітні бурі, радіоактивне вплив). Наприклад, світовий досвід і статистичний аналіз випадків комп'ютерних злочинів у банківській сфері показує, що серед них: крадіжка грошей - 36%; крадіжка послуг - 34%; крадіжка інформації - 12%; підробка даних - 8%; здирство - 4%; нанесення збитку програмами - 2%; нанесення шкоди обладнанню - 2%; перешкоди нормальній роботі - 2%. За наявністю умислу загрози поділяються на навмисні (з наміром) і ненавмисні (випадкові). З урахуванням аналізу міжнародного досвіду зашиті інформації та досвіду проведення аналогічних робіт у вітчизняних організаціях зловмисні дії персоналу, що працює в установі, можна розділити з урахуванням соціальних передумов, характерних для Росії, на чотири основні категорії:
а) Переривання - припинення нормальної обробки інформації, наприклад, внаслідок руйнування обчислювальних засобів. Така категорія дій може викликати дуже серйозні наслідки, якщо навіть інформація при цьому не піддається ніяким впливам.
Б) Крадіжка - читання або копіювання інформації, розкрадання носіїв інформації з метою отримання даних, які можуть бути використані проти інтересів власника (власника) інформації.
 в) Модифікація інформації - внесення несанкціонованих змін до даних, спрямовані на заподіяння шкоди власнику (власнику) інформації. 
 г) Руйнування даних - необоротне зміна інформації, що приводить до неможливості її використання. 
 Узагальнюючи дані аналізу, при цьому можна констатувати, що ймовірність реалізації випадкових загроз вище, ніж навмисних, але фінансовий збиток більше від реалізації останніх. 
 По засобах впливу на інформаційні системи найбільш повний відомий аналіз загроз та їх загальну класифікацію дан в дослідженнях групи вітчизняних вчених під керівництвом П. Д. Зегжда. 
 За даними глобального опитування в 50 країнах світу серед 1600 фахівців в області захисту інформації, який проводили влітку 1998 р. компанії Information Week і Pricewaterhouse Coopers, найпоширеніша загроза безпеці в 1997 р. - це комп'ютерні віруси. Якщо в 1991 р. вірусна загроза була зафіксована 22% опитаних, а в 1992 р. - 44%, то в 1997 р. - більше 60%. При цьому велика частина загроз як і раніше виходять зсередини компанії: 58% опитаних компаній припускають, що один або більше співробітників та інших авторизованих користувачів зловживали своїми правами (у 1991 р. - 75%). Неавторизовані користувачі проникали в корпоративні мережі тільки в 24% випадків; постачальники і покупці є джерелами атак тільки в 12% 
 випадків. "Співвідношення внутрішніх / зовнішніх загроз - 60:40, раніше - 80:20. За деякими оцінками, число вірусів подвоюється щороку. Як наслідок, антивірусні засоби є найпоширенішими засобами захисту інформації (серед опитаних компаній (більше 90%). Наступним поширеним засобом захисту є міжмережеві екрани. Засоби адаптивного управління безпекою, такі як системи аналізу захищеності і виявлення атак, поки застосовуються не настільки широко, як того вимагають динамічно змінюються мережеві технології. - 
 Оскільки повне усунення перерахованих загроз принципово неможливо, то проблема полягає у виявленні факторів, від яких вони залежать, в створенні методів і засобів зменшення їх впливу на ПС, а також у раціональному розподілі ресурсів 
  для забезпечення створення системи, равнопрочной як в плані якості функціонування, так і інформаційної безпеки. Для вирішення цієї проблеми В. В. Липаев пропонує в якості одного з ефективних методів - сертифікацію. За його оцінкою, сертифікація, як апробований механізм цілеспрямованих випробувань, повинна бути в максимальному ступені орієнтована на протидію перерахованим загрозам і нейтралізацію негативних наслідків їх реалізації. При цьому, в силу існуючої залежності, забезпечення якості функціонування ІС в умовах потенційної реалізації загроз є певною гарантією інформаційної безпеки ІС. За частотою прояви загрози безпеки розподіляються так в порядку убування: копіювання і крадіжка програмного забезпечення; несанкціонований введення даних; модифікація або знищення даних на магнітних носіях інформації; крадіжка (з'їм) інформації; 
 несанкціоноване використання ресурсів у системі; несанкціонований доступ до інформації. 
 Імовірність виникнення загроз може бути істотно знижена: крадіжка магнітних носіїв і результатів друку, псування 
 обладнання - організаційними заходами; електромагнітні впливу і перехоплення інформації в системах - технічними засобами захисту; знімання інформації по акустичному каналу - захистом від підслуховування; відключення електроживлення системи-інженерно-технічними засобами. Решта види загроз найбільш небезпечні, що доводить необхідність комплексного вирішення проблеми захисту із застосуванням організаційних, апаратно-технічних, програмно-математичних і правових засобів захисту. 
 У даному випадку використовується підхід, коли для захисту від кожного виду загроз повинні розроблятися свої способи, які повинні орієнтуватися не на максимальний, а на необхідний рівень захисту. У той же час деякі вчені та практики вважають, що існуючий підхід до побудови систем захисту, що полягає у виявленні та аналізі безлічі загроз і створенні засобів захисту, що перешкоджають здійсненню кожного з типів загроз, є неефективним і тупиковим. Це пояснюється відкритістю та експоненціальним характером зростання безлічі загроз, постійним виникненням їх якісно нових типів. Разом з тим, будь-який з типів загроз - як існуючих, так і тих, що з'являться в майбутньому, обумовлений наявністю певних недоліків в системах забезпечення безпеки. Підвищення надійності самої системи та усунення даних причин (в ідеальному випадку) дозволить мінімізувати можливість здійснення загроз безпеки. Незаперечною перевагою даного підходу, на думку П. Д. Зегжда, є можливість ефективного протистояння як існуючим, так і перспективним типам загроз, що не в змозі забезпечити традиційний підхід. Використання семантики інформації в якості основи для розмежування доступу до неї дає можливість побудувати систему захисту даних відповідно до їх інформаційну цінність. На наш погляд, доцільно використовувати переваги як першого, так і другого підходів. 
 Основні напрямки забезпечення безпеки в інформаційних системах можна визначити залежно від їх рівня і загроз цим системам відповідно до наведеної класифікації таких загроз, і вони припускають комплексне вирішення проблеми захисту із застосуванням організаційних, 
 апаратно-технічних, програмно-математичних і правових засобів защіти.-Сукупність застосування таких заходів і засобів захисту прийнято називати серед фахівців політикою безпеки. Політика безпеки інформаційної системи зазвичай складається з трьох частин: загальні принципи (визначають підхід до безпеки в системі); правила роботи (визначають що дозволено, а що - заборонено; можуть доповнюватися конкретними процедурами і різними посібниками); технічні рішення (технічний аналіз, який допомагає виконувати принципи і правила 
  політики). Однак, як в теорії, так і на практиці подібна політика безпеки, як 
 правило, не передбачає правових засобів захисту, згадуючи лише в кращому випадку 
 про відповідальність за комп'ютерні злочини. Розглянемо це на деяких 
 прикладах організації захисту інформаційних систем різних рівнів, а питання їх 
 правової охорони і захисту розглянемо докладніше в наступних параграфах цього розділу. 
 На рівні персонального комп'ютера. 
 Ще недавно найбільша загроза інформаційної безпеки настільного ПК 
 виходила від дискет невідомого походження, легко вгадуваних паролів і 
 цікавих колег по роботі. З появою Інтернет виникли нові потенційні 
 небезпеки і загрози на цьому рівні, що припускає використання і нових технічних 
 і програмних засобів захисту. До їх числа можна віднести-: 
 персональні комплекси безпеки (персональні комплекси безпеки 
 відрізняються широкою функціональністю: від антивірусних програм до шифраторів 
 даних і фільтрів ActiveX і Java. Наприклад, в інструментальний комплекс Desktop 
 Security Suite входять антивірусні програми, засоби шифрування, персональний 
 брандмауер і утиліти резервування даних); 
 диспетчери cookie-файлів (службових повідомлень) - програми, за допомогою яких 
 можна відшукувати і видаляти 
 cookie-файли, які можуть бути використані для стеження за діяльністю 
 користувача в Мережі, що породило побоювання щодо можливих порушень 
 конфіденційності; 
 надійні алгоритми шифрування - єдиний спосіб, який гарантує 
 недоторканність електронної пошти користувача (загальноприйнятим стандартом 
 шифрування електронної пошти стає специфікація S / MIME). Так звані 
 проломи в захисті браузерів дають можливість стороннім особам переглядати вашу 
 електронну пошту. Наприклад, у першій половині 1997 р. фірма Netscape випустила 
 програмну латку для ліквідації проломи, через яку сторонні могли читати 
 повідомлення клієнтів служби Netscape Mail, що працювали спакетамі Navigator 3.0 і 
 підключеним модулем Бпосклуауефірми Macromedia. 
 На рівні локальної, корпоративної мережі-. 
 Забезпечення інформаційної безпеки корпоративних мереж, (де їх експлуатація 
 пов'язана з використанням потужних СУБД, роботою сотень користувачів і включенням в 
 глобальні мережі зв'язку, що полегшує доступ невизначеного кола осіб до ресурсів такий 
 системи) вимагає спеціальної стратегії безпеки, складовими частинами якої 
 повинні стати розробка сукупності документованих управлінських рішень, 
 оцінка ризиків і оптимальний вибір захисних засобів, складання програми заходів з 
 підтриманню безпеки. До політики безпеки на цьому рівні відносять: 
 1) принципи захисту інформації в інформаційних системах: 
 цілісність змісту інформації (дозволяє одержувачеві переконатися, що зміст 
 повідомлення не модифіковано); 
 цілісність послідовності повідомлень (дозволяє одержувачеві переконатися в тому, що 
 послідовність повідомлень не змінена); 
 конфіденційність змісту інформації (дозволяє відправнику бути впевненим, 
 що ніхто не прочитає повідомлення, крім певного одержувача); 
 аутентифікація джерела повідомлень (відправник отримує можливість 
 аутентифицироваться у одержувача як джерело 
 повідомлення, а також у будь-якого пристрою передачі повідомлень, через яке вони 
 проходять); 
 доказ доставки інформації (відправник може переконатися в тому, що повідомлення 
 доставлено неспотвореним потрібного одержувачу); 
 доказ подачі інформації (відправник може переконатися в ідентичності 
 пристрої передачі повідомлення, на яке воно було подано); 
  безвідмовність джерела інформації (дозволяє відправнику довести одержувачу, що 
 передане повідомлення належить йому); 
 безвідмовність надходження інформації (дозволяє відправнику повідомлення отримати від 
 пристрої передачі повідомлення, на яке воно надійшло, доказ того, що 
 повідомлення надійшло на цей пристрій для доставки визначеному одержувачу); 
 безвідмовність доставки інформації (дозволяє відправнику отримати від одержувача 
 доказ отримання ним повідомлення); 
 управління контролем доступу до інформації (дозволяє двом компонентам системи 
 обробки повідомлень встановити безпечні з'єднання); 
 захист від спроб розширення своїх законних повноважень (на доступ, формування, 
 розподіл і т. д.), а також зміни (без санкції на те) повноважень інших 
 користувачів; 
 захист від модифікації програмного забезпечення шляхом додавання нових функцій. 
 (Аналогічні принципи повинні бути і щодо захисту самих інформаційних 
 систем); 
 2) управління персоналом (відбір, контроль в процесі діяльності, виховання свідомого ставлення до дотримання правил безпеки); 
 3) забезпечення фізичного захисту інформації, у тому числі регулярне захищене резервне її копіювання, протоколювання й аудит всіх виконуваних в системі дій, шифрування інформації, екранування кабельних мереж; 
 4) підтримка працездатності системи і попередження її розкриття і проникнення в неї вірусів (резервування 
 обладнання, використання перевірки автентичності користувача, використання брандмауерів - пристроїв і програм, що виконують функції міжмережевих екранів, обмеження використання дисків CD-ROM і гнучких дисків, розмежування прав доступу тощо); 5)
 негайне реагування на прояв загрози; 6)
 випереджувальний планування відновлювальних робіт. 
 До числа основних напрямків забезпечення інформаційної безпеки в 
 загальнодержавних інформаційних і телекомунікаційних системах віднесені: 
 запобігання перехоплення інформації з приміщень і об'єктів, а також інформації, 
 переданої каналами зв'язку за допомогою технічних засобів; 
 виключення несанкціонованого доступу до оброблюваної або що зберігається в 
 технічних засобах інформації; 
 запобігання витоку оброблюваної інформації за рахунок побічних електромагнітних 
 випромінювань і наведень, створюваних функціонуючими технічними засобами, 
 перетворень, а також за рахунок електроакустичних перетворень; 
 запобігання спеціальних програмно-технічних впливів, що викликають 
 руйнування, знищення, перекручення інформації або збої в роботі засобів 
 інформатизації; 
 виявлення впроваджених на об'єкти і в технічні засоби електронних пристроїв 
 перехоплення інформації. 
 Безумовними недоліками такого підходу є два моменти: 1) те, що 
 перераховані напрями відносяться, в основному, до захисту інформації, 
 циркулюючої в інформаційній системі, і 2) забезпечення захисту тут пропонується 
 здійснювати без вказівки на використання при цьому засобів і способів правової охорони 
 та захисту. 
 Так, запобігання перехоплення за допомогою технічних засобів інформації, 
 переданої каналами зв'язку, а також виключення несанкціонованого доступу до 
 інформації, що обробляється або зберігається в технічних засобах, досягаються 
 шляхом застосування спеціальних методів і засобів захисту, включаючи криптографічні, а 
 також проведення організаційно-технічних заходів. 
  Запобігання витоку оброблюваної інформації за рахунок побічних електромагнітних випромінювань і наведень, а також електроакустичних перетворень досягається шляхом застосування захищених технічних засобів, апаратних засобів захисту, засобів активної протидії, екранування будівель або окремих приміщень, встановлення контрольованої зони навколо засобів інформатизації та іншими організаційними і технічними заходами. 
 Запобігання спеціальних програмно-технічних впливів, що викликають руйнування, знищення, перекручення інформації або збої в роботі засобів інформатизації, досягається за допомогою спеціальних програмних і апаратних засобів захисту, організації контролю безпеки програмного забезпечення. Виявлення впроваджених на об'єкти і в технічні засоби електронних пристроїв перехоплення інформації здійснюється в ході спеціальних обстежень приміщень (об'єктів) та спеціальних перевірок технічних засобів. 
 Запобігання перехоплення технічними засобами мовної інформації з приміщень та об'єктів досягається застосуванням спеціальних засобів захисту, реалізацією проектних рішень, що забезпечують звукоізоляцію приміщень, виявленням і нейтралізацією спеціальних засобів знімання інформації та іншими організаційними та режимними заходами. 
 - Маркоменко В. І. Захист інформації в інформаційно-телекомунікаційних системах органів державної влади. Системи безпеки. 1996 № 6. -
 Концепція Центробанку Росії забезпечення захисту інформації кредитно-фінансової установи. М., 1996.; Левкін В. В. та ін Оцінка економічної ефективності системи захисту від несакціонірованного доступу СНІГ. Безпека інформаційних технологій. 1996. № 3. С. 90-101; Стіні Д., Мун С. Секрети безпеки мереж. Київ. 1996; Романов М. Ю., Ськородумов Б. І. Безпека інформації в автоматизованих системах банківських розрахунків. М., 1998. С. 45-70. -
 Теорія і практика забезпечення інформаційної безпеки / Под ред. П. Д. Зегжда. М., 1996. 
 - Лукацький А. В., керівник відділу Internet-рішень НІП "Інформзахист". Інформаційна безпека у фактах і цифрах. М., 1998. -
 Галатенко В. А. Інформаційна безпека: практичний підхід. - Під редакцією члена-корреспондентаРАНВ. Б. Бетеліна. М., 1998. -
 Худоба Фінні. Інформаційна безпека настільних ПК. PC Magazine. 1997. № 9. С. 149. -
 Матеріали семінару "Безпека в інформаційних системах". 27-29 травня 1996 р. "Банківські технології". 1996. № 7. 
 15.2. Охорона прав на інформаційні системи 
 Слід розрізняти правову охорону і захист права на інформацію в інформаційних 
 системах і захист прав відносно самих інформаційних систем. Цілями правової 
 охорони та захисту в даному випадку є: 
 запобігання несанкціонованих дій по знищенню, модифікації, 
 спотворення, копіювання, блокування інформації, що знаходиться в інформаційній 
 системі; 
 запобігання інших форм незаконного втручання в інформаційні системи; 
 захист конституційних прав громадян на збереження особистої таємниці та 
 конфіденційності персональних даних, наявних в інформаційних системах; 
 забезпечення прав суб'єктів при розробці, виробництві та 
 застосуванні інформаційних систем 
 Охорона права власника (власника) на інформаційну систему виникає з моменту 
 її створення (придбання) на законній підставі і діє в обсязі та порядку, 
 передбаченому Цивільним кодексом Російської Федерації (розділ II), що 
  підтверджено Федеральним законом "Про участь в міжнародному інформаційному обміні", в якому зазначено, що інформаційні системи використовуються тільки за волевиявленням їх власника або уповноваженої ним особи (ст. 9), а доступ фізичних та юридичних осіб до цих систем здійснюється за правилами, встановленими власником або власником цих систем відповідно до законодавства Російської Федерації (ст. 12). У той же час така правова охорона в кожному конкретному випадку буде мати свою специфіку залежно від виду інформаційних систем: відкриті (для загального користування) або закриті (для обмеженого кола користувачів); державні чи недержавні; національні чи міжнародні і т. д. На основі аналізу чинного законодавства можна виділити основні права та обов'язки власника інформаційної системи. 
 Власник (власник) інформаційної системи має щодо цієї системи такі права: 
 1) включати до складу свого майна і використовувати інформаційну систему в якості товару (продукції) за своїм розсудом при дотриманні виняткових прав її розробників, в тому числі - відчужувати у власність іншим особам; передавати їм, залишаючись власником, права володіння, користування, розпорядження і довірчого управління інформаційною системою; віддавати в заставу; вільно розпоряджатися іншим чином і обтяжувати іншими способами; - 
 2) самостійно визначати умови використання системи, в тому числі встановлювати порядок надання користувачу 
 інформації із зазначенням місця, часу, відповідальних посадових осіб, а також необхідних процедур доступу до інформаційної системи; 
 3) встановлювати необхідні обмеження для користувачів, включаючи обслуговуючий персонал, в інтересах забезпечення інформаційної безпеки системи і вимагати їх виконання відповідно до чинного законодавства; 4)
 дозволяти (припиняти) доступ користувачів до інформаційної системи на договірній основі, при цьому доступ до мереж зв'язку здійснюється відповідно до Федерального закону "Про зв'язок"; 5)
 звертатися в організації, що здійснюють сертифікацію засобів захисту інформаційних систем, для проведення аналізу достатності заходів захисту його систем і отримання консультацій; 6)
 вимагати від організацій, які виконують роботи в галузі проектування, виробництва засобів захисту інформації та обробки персональних даних в інформаційних системах ліцензії на цей вид діяльності; 
 7) вимагати від третіх осіб утримуватися від незаконного доступу до інформаційних системам і притягнення осіб, винних у порушенні його прав і законних інтересів, до цивільно-правової, адміністративної або кримінальної відповідальності. 
 При реалізації своїх прав власник (власник) інформаційної системи зобов'язаний: 
 1) забезпечити відкритість встановлених ним правил доступу та можливість ознайомлення з ними користувача; 2)
 забезпечити умови доступу користувачів до інформації відповідно до федеральних законів і встановленим їм порядком; 3)
 забезпечити необхідний рівень захисту інформації, що циркулює в інформаційній системі, відповідно до законодавства Російської Федерації; 
 4) захищати права автора інформаційної системи відповідно до законодавства Російської Федерації; 
 5) проводити сертифікацію інформаційних систем, призначених для інформаційного обслуговування громадян та організацій у порядку, встановленому 
  Законом Російської Федерації "Про сертифікацію продукції і послуг". При цьому інформаційні системи органів державної влади 
 Російської Федерації та органів державної влади суб'єктів Російської Федерації, інших державних органів, організацій, які обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих систем підлягають обов'язковій сертифікації відповідно до законодавства Російської Федерації. Сертифікація мереж зв'язку проводиться в порядку, що визначається Федеральним законом "Про зв'язок". Видача сертифікатів і ліцензій покладено законом на Гостехкомиссии Росії та ФАПСИ; - 
 6) здійснювати включення інформаційних систем до складу засобів міжнародного обміну тільки за наявності міжнародного коду в порядку, що встановлюється Урядом Російської Федерації, а щодо систем з особливими правилами доступу до інформації - з дозволу Гостехкомиссии Росії при Президентові Російської Федерації та ФАПСИ; 7)
 забезпечувати умови для здійснення контролю за дотриманням вимог до захисту інформації та експлуатації спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних заходів захисту інформаційних систем, що обробляють інформацію з обмеженим доступом в недержавних структурах, з боку органів державної влади, а також з боку власника інформаційних ресурсів або уповноважених ним осіб щодо захисту інформації, що знаходиться в інформаційній системі; 8)
 сповіщати власника інформаційних ресурсів і (або) інформаційних систем про всі факти порушення режиму захисту інформації. При виявленні позаштатних режимів функціонування засобів міжнародного інформаційного обміну, тобто виникнення помилкових команд, а також команд, викликаних несанкціонованими діями обслуговуючого персоналу чи інших осіб, або помилкової інформації своєчасно повідомити про це в органи контролю - державні органи виконавчої 
 влади за здійсненням міжнародного інформаційного обміну та власнику (власнику) взаємодіючих засобів міжнародного інформаційного обміну, в іншому випадку він несе відповідальність за завдану шкоду. 
 Як видно з наведеного переліку прав і обов'язків суб'єктів правовідносин у даній області охорона прав суб'єктів зведена, в основному, до охорони прав та інтересів власників і власників інформаційних систем, але не їх користувачів. Разом з тим держава повинна визначити ступінь своєї участі в регулюванні процесів створення та функціонування закритих недержавних (корпоративних) систем, а також відкритих систем, перш за все, в інтересах захисту прав громадян. У чинному законодавстві не знайшли належного закріплення відносини, пов'язані з обов'язками суб'єктів по створенню надійних і безпечних інформаційних систем, по їх якісної та безпечної експлуатації, забезпечення інформаційної безпеки, як для систем, так і для користувачів; а також правовідносини, що встановлюють відповідальність власників (власників ) за створення, функціонування та експлуатацію інформаційних систем, що не задовольняють стандартам і вимогам безпеки. У результаті, наприклад, конституційне право громадян на таємницю телефонних переговорів, встановлене п. 2 ст. 23 Конституції Російської Федерації, реалізувати сьогодні вкрай важко. - 
 Всі види виробництва інформаційних систем складають спеціальну галузь економічної діяльності, розвиток якої визначається державною науково-технічної та промислової політикою інформатизації. Відповідно до ст. 3. Федерального закону "Про інформацію, інформатизації і захисту інформації" державна політика у сфері інформатизації стосовно до інформаційних систем повинна бути спрямована на створення умов для ефективного і якісного 
  інформаційного забезпечення вирішення стратегічних та оперативних завдань соціального 
 та економічного розвитку Російської Федерації і включає в себе такі основні 
 напрямки: 
 створення і розвиток федеральних і регіональних інформаційних систем та мереж, 
 забезпечення їх сумісності та взаємодії в єдиному інформаційному просторі 
 Російської Федерації; 
 забезпечення національної безпеки у сфері інформатизації, а також забезпечення 
 реалізації прав громадян, організацій в умовах інформатизації; 
 сприяння формуванню ринку інформаційних послуг та інформаційних систем; 
 формування і здійснення єдиної науково-технічної та промислової політики в 
 сфері інформатизації з урахуванням сучасного світового рівня розвитку 
 інформаційних технологій; 
 підтримка проектів і програм інформатизації; 
 створення і вдосконалення системи залучення інвестицій та механізму 
 стимулювання розробки та реалізації проектів інформатизації; 
 розвиток законодавства у сфері інформатизації та захисту інформації. 
 Крім того, на етапі розробки і виробництва інформаційних систем, відповідно 
 до ст. 16 Закону, держава створює умови для проведення науково-дослідних і 
 дослідно-конструкторських робіт у галузі розробки і виробництва інформаційних 
 систем. 
 Уряд Російської Федерації визначає пріоритетні напрямки розвитку 
 інформатизації та встановлює порядок їх фінансування, при цьому розробка і 
 експлуатація федеральних інформаційних систем фінансуються з коштів 
 федерального бюджету за статтею витрат "Інформатика" ("Інформаційне 
 забезпечення "-; 
 органи державної статистики встановлюють правила обліку та аналізу стану 
 галузі економічної діяльності, розвиток якої визначається державною 
 науково-технічної та промислової політикою інформатизації. 
 До недоліків даного переліку обов'язків держави в цій області слід, на наш 
 погляд, віднести ту обставину, що не завжди проголошені тут права суб'єктів 
 правовідносин доповнюються обов'язками держави щодо їх забезпечення. Так, 
 наприклад, у відповідності зі ст. 16 Федерального закону "Про інформацію, 
 інформатизації і захисту інформації "проголошена рівність прав державних, 
 недержавних організацій і громадян на розробку та виробництво інформаційних 
 систем. Однак, відсутність у законі прямої вказівки на обов'язки державних 
 органів забезпечувати рівність цих прав суб'єктів призводить до того, що на практиці це 
 рівність реалізувати вкрай важко. 
 Особливого порядку охорони прав і законних інтересів особистості, суспільства і держави 
 вимагає загроза застосування інформаційної зброї, в тому числі деструктивного 
 інформаційного впливу при міжнародному інформаційному обміні. У ст. 4 
 Федерального закону "Про участь в міжнародному інформаційному обміні" 
 встановлюються обов'язки держави у сфері міжнародного інформаційного 
 обміну, відповідно до яких, стосовно до інформаційних систем, органи 
 державної влади Російської Федерації і органи державної влади 
 суб'єктів Російської Федерації: 
 створюють умови для забезпечення Російської Федерації, суб'єктів Російської 
 Федерації, муніципальних утворень, 
 фізичних та юридичних осіб Російської Федерації іноземними інформаційними 
 послугами; 
 сприяють впровадженню сучасних інформаційних технологій, що забезпечують 
 ефективну участь Російської Федерації, суб'єктів Російської Федерації, 
  муніципальних утворень, фізичних та юридичних осіб Російської Федерації в міжнародному інформаційному обміні; 
 забезпечують захист російських інформаційних систем, що беруть участь у міжнародному інформаційному обміні і дотримання правового режиму інформації; стимулюють розширення взаємовигідного міжнародного інформаційного обміну документованої інформацією і охороняють законні інтереси Російської Федерації, суб'єктів Російської Федерації, муніципальних утворень, фізичних та юридичних осіб в Російській Федерації; 
 створюють умови для захисту вітчизняних власників і власників інформаційних систем при міжнародному інформаційному обміні, користувачів від неякісної та недостовірної іноземної інформації, недобросовісної конкуренції з боку фізичних та юридичних осіб іноземних держав в інформаційній сфері. Крім того, в цьому законі передбачено, що: -
 включення інформаційних систем до складу засобів міжнародного обміну здійснюється за наявності міжнародного коду в порядку, що встановлюється Урядом РФ, а щодо систем з особливими правилами доступу до інформації - з дозволу Гостехкомиссии РФ і ФАПСИ (ст. 10); -
 засоби міжнародного інформаційного обміну для обробки інформації з обмеженим доступом, а також засоби захисту цих коштів підлягають обов'язковій сертифікації в порядку, який визначається Федеральним законом РФ "Про зв'язок" (ст. 17); -
 діяльність при вивезенні (ввезенні) інформації державних інформаційних ресурсів підлягає ліцензуванню (ст. 18); при цьому видача сертифікатів і ліцензій покладено законом на Гостехкомиссии і ФАПСИ (ст. 9); 
 - При виявленні позаштатних режимів функціонування інформаційних систем, тобто виникненні помилкових команд, а 
 також команд, викликаних несанкціонованими діями обслуговуючого персоналу чи інших осіб, або помилкової інформації власник або власник цих коштів повинен своєчасно повідомити про це в органи контролю за здійсненням міжнародного інформаційного обміну та власнику або власнику взаємодіючих засобів міжнародного інформаційного обміну, в іншому випадку він несе відповідальність за заподіяну шкоду (ст. 9); 
 - У разі протиправних дій органи виконавчої влади (РФ і суб'єктів РФ), здійснюють контроль за міжнародним інформаційним обміном, можуть припинити його на будь-якій стадії до 2 місяців, що може бути оскаржено в суді (ст. 16, 19). 
 Основними напрямами міжнародного співробітництва Російської Федерації в 
 галузі забезпечення інформаційної безпеки відповідно до Доктрини 
 інформаційної безпеки РФ є: 
 заборона розробки, розповсюдження і застосування "інформаційної зброї" -; 
 забезпечення безпеки міжнародного інформаційного обміну, у тому числі 
 збереження інформації при її передачі по національних телекомунікаційних 
 каналах і каналах зв'язку; 
 координація діяльності правоохоронних органів країн, що входять у світове 
 співтовариство, щодо запобігання комп'ютерних злочинів; 
 запобігання несанкціонованого доступу до конфіденційної інформації в 
 міжнародних банківських телекомунікаційних мережах і системах інформаційного 
 забезпечення світової торгівлі, до інформації міжнародних правоохоронних 
 організацій, що ведуть боротьбу з транснаціональною організованою злочинністю, 
 міжнародним тероризмом, розповсюдженням наркотиків та психотропних речовин, 
 незаконною торгівлею зброєю і матеріалами, що розщеплюються, а також торгівлею 
 людьми. 
  При цьому необхідно визначити перелік інформаційних систем, де держава повинна нести стовідсоткову відповідальність за їх охорону і захист (системи управління федеральних органів державної влади, управління військами і зброєю, забезпечення банківської та фінансової стабільності і т. п.), критерії безпеки таких систем. Прикладом такої закритої, зі стовідсотковим участю держави інформаційної системи може стати створювана відповідно до Указу Президента Російської Федерації від 3 квітня 1995 р. № 334 інформаційно-телекомунікаційна система спеціального призначення в інтересах органів державної влади (ІТКМ). Відповідно до Концепції створення та розвитку ІТКМ, як телекомунікаційної компоненти ІТКМ буде використана створювана нині інтегрована державна система конфіденційного зв'язку Росії, ядром якої є високопродуктивна захищена мережа передачі даних з пакетною комутацією "Атлас", що дозволяє надати абонентам повний набір інформаційних послуг при забезпеченні гарантованої безпеки та конфіденційності переданої, що зберігається та оброблюваної інформації. Створена інфраструктура ліцензованих Федеральним агентством підприємств, організацій і фірм, що активно працюють над вирішенням завдань забезпечення комплексної безпеки в інформаційно-телекомунікаційних системах. Акредитовані випробувальні центри. Затверджена та зареєстрована в Держстандарті "Система сертифікації засобів криптографічного захисту інформації". Діють сертифікаційні центри (лабораторії), які оснащені необхідними методичними та керівними матеріалами. Сертифіковані різні типи шифрувальних засобів, призначених для захисту, як конфіденційної інформації, так і комерційної таємниці. 
 Одночасно з цим держава повинна визначити ступінь своєї участі в законодавчому регулюванні процесів створення та функціонування закритих недержавних (корпоративних) систем, а також відкритих інформаційних систем та забезпечення інформаційної безпеки в них, перш за все в інтересах захисту прав користувачів таких систем. 
 Требуется уніфікація законодавства, так як кіберпростір не визнає національних кордонів. Потрібні єдині 
 підходи в боротьбі з комп'ютерними злочинами. Передумови для такої єдиної правової політики створюються в країнах Європейського Союзу, Ради Європи та СНД. Мережі міжнародного інформаційного обміну різко розширюють можливості використання інформаційної зброї, домогтися повної заборони якого навряд чи вдасться. Але ввести обмеження на виробництво та обіг цієї зброї, міжнародну заборону на ведення інформаційних війн можна і потрібно. У 1996 р. автор виступив з ініціативою, яка була підтримана комітетами Державної Думи РФ і в грудні 1997 р. перетворилася на політичну ініціативу дев'яти держав - учасниць СНД. Міжпарламентська Асамблея країн СНД прийняла звернення до ООН, ОБСЄ, країнам Міжпарламентського Союзу з пропозицією включити до порядку денного Генеральної Асамблеї ООН питання про підготовку і висновку міжнародної конвенції про запобігання інформаційних воєн і обмеження обігу інформаційної зброї. Це необхідно для того, щоб ми не витрачали кошти спочатку на розробку інформаційної зброї, потім на захист від нього, а потім на його знищення, як це було раніше з ядерним, хімічним і бактеріологічною зброєю. 
 - Відносини, пов'язані з правом власності на російські інформаційні системи міжнародного інформаційного обміну, регулюються цивільним законодавством Російської Федерації. Відносини, пов'язані з правом власності, що виникають в результаті надання або отримання інформаційної послуги, визначаються договором між власником або власником інформаційних продуктів і користувачем. 
  Надання інформаційної послуги не створює для користувача право авторства на отриману документовану інформацію. 
 - Ризик, пов'язаний з використанням несертифікованих інформаційних систем лежить на власника (власника) цих систем. Ризик, пов'язаний з використанням інформації, отриманої з несертифікованої системи, лежить на споживачі інформації. Інтереси споживача інформації при використанні імпортної продукції в інформаційних системах захищаються митними органами Російської Федерації на основі міжнародної системи сертифікації. 
 - Прикладом цьому може служити нинішня ситуація, коли банки, підприємства і організації встановлюють у себе імпортне обладнання цифрових АТС зі вбудованим блоком поліцейських функцій, що дозволяє вести запис в автоматичному режимі всіх телефонних переговорів. Це, на думку власників таких систем, дозволяє їм захистити більш надійно свої права на комерційну, банківську, службову таємницю, але з точки зору закону це грубо порушує конституційні права громадян на таємницю переговорів, у тому числі тих, хто не є працівником цієї організації. Іншим прикладом неблагополуччя в цій області може служити ситуація з цифровими телефонними станціями загального користування, відповідальність за які несе Держкомзв'язку Росії. За п'ять років число цифрових телефонних станцій зросла з 2 до 80, а цифрових каналів - до 70 тис. У цьому імпортному обладнанні не виключені закладки зворотного зв'язку, що дозволяють безконтрольно знімати інформацію в будь зручне для постачальників час без відома російських користувачів. А це вже не тільки порушення конституційних прав громадян на таємницю переговорів, але і пряма загроза для безпеки всієї країни. При користуванні мобільними телефонами, пейджингового зв'язком найбільш поширеною загрозою для користувачів є можливість несанкціонованого знімання інформації при скануванні інформаційного простору портативними модулями на базі комп'ютерів, які мають у себе багато громадяни та організації, в тому числі зі злочинними цілями. -
 Лопатин В. Н. 1) На супутниковий зв'язок не вистачає грошей / / Незалежна газета. 1997. 13 листопада, 2) Використовуємо наше відставання як благо (про розвиток комп'ютерних мереж) / / Журнал "Компьютерра". 1997. № 12. С.34-39. -
 Лопатин В. Н. Інформаційна безпека Росії: Людина. Суспільство. Держава. СПб., 2000. С. 97-105. 
 « Попередня  Наступна »
 = Перейти до змісту підручника =