Problém informačnej bezpečnosti v ruskej legislatíve. Informačná bezpečnosť: hlavné problémy. §1.1 Pojem a úloha informácií v súčasnej fáze rozvoja ruskej spoločnosti

Problém informačnej bezpečnosti v ruskej legislatíve. Informačná bezpečnosť: hlavné problémy. §1.1 Pojem a úloha informácií v súčasnej fáze rozvoja ruskej spoločnosti

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí využívajú vedomostnú základňu pri štúdiu a práci, vám budú veľmi vďační.

Uverejnené na http://www.allbest.ru/

Úvod

Z technologického hľadiska sú informácie produktom informačných systémov. Ako pri každom produkte, informácie majú veľký význam pre ich kvalitu, teda schopnosť uspokojiť určité informačné potreby.

Relevantnosť tohto testu. Zabezpečovanie informačnej bezpečnosti v modernom Rusku sa javí ako zložitý a špecifický proces, ktorý podlieha vplyvu mnohých vonkajších a vnútorných faktorov. Špecifický charakter tohto procesu určujú politické podmienky, v ktorých prebieha.

Ciele tohto testu:

1. Zvážte informačnú bezpečnosť a jej zložky;

2. Zvážte problémy informačnej bezpečnosti;

3. Preštudujte si právnu podporu informačnej bezpečnosti.

Kvalita informácií je komplexný pojem, je založený na základnom systéme ukazovateľov, vrátane ukazovateľov troch tried:

* trieda vydania (aktuálnosť, relevantnosť, úplnosť, dostupnosť a iné);

* trieda spracovania (spoľahlivosť, primeranosť atď.);

* bezpečnostná trieda (fyzická integrita, logická integrita, bezpečnosť).

Aktuálnosť informácie sa posudzuje podľa času vydania (prijatia), počas ktorého informácia nestratila na aktuálnosti.

Relevantnosť informácie je miera, do akej zodpovedá aktuálnemu okamihu v čase. Komerčná hodnota informácií sa často spája s relevantnosťou. Zastarané a neaktuálne informácie môžu viesť k chybným rozhodnutiam a tým stratiť svoju praktickú hodnotu. Úplnosť informácií určuje dostatočnosť údajov pre rozhodovanie alebo vytváranie nových údajov na základe existujúcich údajov. Čím sú údaje úplnejšie, tým ľahšie je vybrať metódu, ktorá vnáša do informačného procesu minimum chýb.

Spoľahlivosť informácií je miera zhody medzi prijatými a odchádzajúcimi informáciami.

Adekvátnosť informácií je miera zhody so skutočným objektívnym stavom veci. Pri vytváraní nových informácií na základe neúplných alebo nedostatočných údajov môžu vzniknúť neadekvátne informácie. Úplné a spoľahlivé údaje však môžu viesť k vytvoreniu neadekvátnych informácií, ak sa na ne použijú nevhodné metódy.

Dostupnosť informácií je mierou schopnosti získať tú alebo onú informáciu. Nedostatočný prístup k údajom alebo nedostatočné metódy spracovania údajov vedú k rovnakému výsledku: informácie sú nedostupné. Jedným z najvýznamnejších ukazovateľov kvality informácií je ich bezpečnosť.

Štruktúra tohto testu. Test pozostáva z: úvodu, troch kapitol, záveru, zoznamu literatúry.

I. Informačná bezpečnosť a jej zložky

Problém zabezpečenia informačnej bezpečnosti je aktuálny, odkedy si ľudia začali vymieňať informácie, zhromažďovať ich a uchovávať. Vždy existovala potreba spoľahlivo uchovávať najdôležitejšie výdobytky ľudstva, aby sme ich mohli odovzdať potomkom. Podobne vznikla potreba vymieňať si dôverné informácie a spoľahlivo ich chrániť.

So začiatkom masového používania počítačov sa problém informačnej bezpečnosti stal obzvlášť akútnym. Na jednej strane sa počítače stali nosičmi informácií a v dôsledku toho aj jedným z kanálov na ich získavanie, autorizovaným aj neoprávneným. Na druhej strane, počítače, ako každé technické zariadenie, podliehajú poruchám a chybám, ktoré môžu viesť k strate informácií. Informačná bezpečnosť sa vzťahuje na bezpečnosť informácií pred náhodným alebo úmyselným zásahom, ktorý poškodzuje ich vlastníkov alebo používateľov. S rastúcim významom a hodnotou informácií sa zodpovedajúcim spôsobom zvyšuje aj dôležitosť ich ochrany. Na jednej strane sa informácie stali tovarom a ich strata alebo predčasné zverejnenie spôsobuje materiálne škody. Na druhej strane sú informácie signálmi pre riadenie procesov v spoločnosti a technológii a neoprávnené zásahy do procesov riadenia môžu viesť ku katastrofálnym následkom.

informačná bezpečnosť právna ochrana

II. Problém informačnej bezpečnosti

Problém informačnej bezpečnosti vznikol už dávno a má hlboké historické korene. Spôsoby ochrany informácií boli donedávna výlučne v kompetencii spravodajských služieb zabezpečujúcich bezpečnosť krajiny. Nové technológie na meranie, prenos, spracovanie a uchovávanie informácií však výrazne rozšírili okruh činností ľudí, ktorí potrebujú informácie chrániť, viedli k vývoju a šíreniu nových metód neoprávneného prístupu k informáciám a v dôsledku toho k tzv. intenzívny rozvoj nového vedeckého smeru – „informačnej bezpečnosti“. Toto všetko súvisí predovšetkým s nástupom počítačových systémov spracovania údajov, ako aj s rýchlym rozvojom systémov prenosu údajov. Môžeme identifikovať niektoré dôvody, ktoré viedli k potrebe vývoja nových metód informačnej bezpečnosti, ako aj ďalšieho rozvoja tradičných. Prvé systémy pre kolektívne využitie počítačov a ich integrácia do globálnych a lokálnych sietí, technológie otvorených systémov už v prvej fáze odhalili potrebu chrániť informácie pred náhodnými chybami operátora, poruchami zariadení, napájacích zdrojov atď. Rýchly rast kapacity externých pamäťových zariadení a vysoká efektívnosť ich využitia v automatizovaných riadiacich systémoch viedli k vytvoreniu databáz s obrovskou kapacitou a vysokými nákladmi a súčasne vytvárali problémy s ich ochranou pred rôznymi nehodami, ako aj pred neoprávnenými zásahmi. prístup. Moderné informačné systémy tvoria technickú základňu orgánov štátnej správy, priemyselných podnikov a výskumných organizácií, finančných inštitúcií, bánk a pod. Dnes, keď sa počítač pevne udomácnil v našom každodennom živote, sme čoraz viac nútení mu zverovať svoje tajomstvá (finančné, priemyselné, medicínske atď.) av tomto ohľade sa problematika informačnej bezpečnosti stáva komplexnejšou.

Okrem čisto technických úloh vývoja nástrojov informačnej bezpečnosti existujú regulačné, technické, organizačné, právne, právne a iné aspekty. Hlavné úlohy, ktoré zvažujú odborníci na informačnú bezpečnosť (ako aj publikácie na túto tému), súvisia so zaistením bezpečnosti používania globálnych a lokálnych sietí, problémov globálneho internetu, „hackerov“, „vírusov“ atď. Zhrnutím toho, čo bolo povedané, môžeme zdôrazniť technické, organizačné a právne opatrenia na zaistenie informačnej bezpečnosti a predchádzanie počítačovej kriminalite.

Technické opatrenia zahŕňajú:

1. ochrana pred neoprávneným prístupom;

2. redundancia obzvlášť dôležitých komponentov subsystémov;

3. organizácia počítačových sietí s prerozdelením zdrojov v prípade dočasného narušenia výkonu ktorejkoľvek časti siete;

4. vytvorenie zariadení na detekciu a hasenie požiaru;

5. vytvorenie zariadení na detekciu úniku vody;

6. technická ochrana proti krádeži, sabotáži, sabotáži, výbuchom;

7. zdvojenie napájania;

8. spoľahlivé uzamykacie zariadenia;

9. poplašné zariadenia na rôzne nebezpečenstvá.

Organizačné opatrenia zahŕňajú:

1. spoľahlivá bezpečnosť;

2. výber spoľahlivého personálu;

3. správna organizácia personálnej práce;

4. poskytnutý plán obnovy prevádzky informačného centra po poruche;

5. organizácia údržby a kontroly výpočtového strediska osobami, ktoré nemajú záujem o zatajovanie trestných činov;

6. vytvorenie prostriedkov na ochranu informácií pred akýmikoľvek osobami vrátane riadiacich pracovníkov;

7. zabezpečoval opatrenia správnej a trestnej zodpovednosti za porušenie pracovného poriadku;

8. správna voľba umiestnenia informačného centra s drahým hardvérom a softvérom.

Právne opatrenia zahŕňajú:

1. vývoj trestných noriem zodpovednosti za počítačové zločiny;

3. zlepšenie trestnej a občianskej legislatívy;

4. zlepšenie súdneho konania v prípade počítačových zločinov;

5. verejná kontrola nad vývojármi počítačových systémov;

6. prijatie viacerých medzinárodných dohôd týkajúcich sa informačnej bezpečnosti.

Ide o veľmi rozsiahly vedecký a technický problém, ktorý, prirodzene, nemôžeme pokryť v plnom rozsahu a dotkneme sa len základných pojmov, definícií a prostriedkov ochrany, ktoré má používateľ k dispozícii, a začneme najbližším problémom bežného používateľa. - so zachovaním informácií, ktoré nesúvisia s neoprávneným prístupom.

III. Právna podpora informačnej bezpečnosti

Právne opatrenia na zabezpečenie informačnej bezpečnosti zahŕňajú: vývoj noriem stanovujúcich zodpovednosť za počítačové zločiny; ochrana autorských práv programátorov; zlepšenie trestnej a občianskej legislatívy, ako aj súdneho konania. Právne opatrenia by mali zahŕňať aj verejnú kontrolu vývojárov počítačových systémov a prijatie príslušných medzinárodných dohôd. Až donedávna v Ruskej federácii neexistovala možnosť efektívneho boja proti počítačovým zločinom, pretože tieto zločiny nebolo možné považovať za nezákonné, pretože neboli kvalifikované podľa trestného práva. Do 1. januára 1997 bolo možné na úrovni súčasnej legislatívy Ruska považovať za uspokojivo upravenú len ochranu autorských práv vývojárov softvéru a čiastočne aj ochranu informácií v rámci štátneho tajomstva, avšak práva občanov na prístup k informáciám a ochrana informácií priamo súvisiacich s počítačovou kriminalitou.

Tieto problémy sa čiastočne vyriešili po nadobudnutí účinnosti nového Trestného zákona (TZ) 1. januára 1997, ktorý Štátna duma prijala 24. mája 1996. V novom Trestnom zákone je zodpovednosť za počítačové zločiny ustanovená čl. čl. 272, 273 a 274. Čl. 272 nového Trestného zákona zakladá zodpovednosť za neoprávnený prístup k počítačovým informáciám (na počítačových médiách v počítači alebo sieti počítačov), ak to viedlo buď k zničeniu, zablokovaniu, zmene alebo skopírovaniu informácií, alebo k narušeniu prevádzky počítačový systém. (Blokovanie znamená zásah do počítača alebo počítačového systému, ktorý má za následok dočasnú alebo trvalú nemožnosť vykonávať akékoľvek operácie s informáciami.)

Tento článok chráni právo vlastníka na súkromie informácií v systéme. Vlastníkom informačného systému môže byť každá osoba, ktorá oprávnene využíva služby spracovania informácií ako vlastník počítačového systému alebo ako osoba, ktorá nadobudla právo na jeho používanie. Trestný čin, za ktorý zodpovedá čl. 272, spočíva v nezákonnom prístupe k zákonom chráneným počítačovým informáciám, ktorý má vždy povahu spáchania určitého konania a môže sa prejaviť preniknutím do počítačového systému s použitím špeciálnych technických alebo softvérových nástrojov, ktoré umožňujú prekonať ochranu ustanovenú zákonom č. systém; nezákonné používanie platných hesiel alebo prezlečenie za legitímneho používateľa na prienik do počítača, krádež pamäťových médií (za predpokladu, že boli prijaté opatrenia na ich ochranu), ak to viedlo k zničeniu alebo zablokovaniu informácií. (Prístup sa považuje za zákonný, ak je povolený držiteľom autorských práv, vlastníkom informácií alebo systému.

Prístup je nezákonný, ak osoba nemá právo na prístup, alebo má právo na prístup, ale uplatňuje ho v rozpore so stanoveným postupom.) Aby mohla vzniknúť trestná zodpovednosť, musí existovať príčinná súvislosť medzi neoprávneným prístupom k informáciám a výskyt ustanovení uvedených v čl. 272 dôsledkov, pričom náhodná dočasná zhoda nelegálneho prístupu a zlyhania počítačového systému, ktorá mala uvedené následky, nezakladá trestnú zodpovednosť.

Neoprávnený prístup k informáciám v počítači musí byť vykonaný úmyselne, t.j. Spáchaním tohto trestného činu si človek uvedomuje, že neoprávnene zasahuje do počítačového systému, predvída možnosť alebo nevyhnutnosť následkov uvedených v zákone, želá si a vedome ich umožňuje, aby nastali, alebo je im ľahostajný. V dôsledku toho zo subjektívnej stránky ide o trestný čin podľa čl. 272 sa vyznačuje prítomnosťou priameho alebo nepriameho úmyslu. Motívy a ciele tohto trestného činu môžu byť veľmi odlišné: sebecké, zamerané na ublíženie (z chuligánskych, konkurenčných alebo iných pohnútok) alebo testovanie vlastných profesionálnych schopností a pod. Keďže motív a účel trestného činu v čl. 272 sa neberú do úvahy, možno ho použiť na všetky druhy počítačových útokov. čl. 272 Trestného zákona pozostáva z dvoch častí. V prvej časti je pre páchateľa najprísnejším trestom odňatia slobody až na dva roky. Druhá časť špecifikuje ako znaky posilňujúce trestnoprávnu zodpovednosť spáchanie trestného činu skupinou osôb alebo páchateľom s využitím služobného postavenia, ako aj sprístupnenie informačného systému a umožňuje uložiť trest odňatia slobody až na päť rokov. . V tomto prípade nezáleží na umiestnení predmetu trestného činu (napríklad banka, ktorej informácie boli neoprávnene sprístupnené na trestné účely), ktorý môže byť zahraničný.

Podľa trestného zákona môžu byť subjektmi počítačových trestných činov iba osoby staršie ako 16 rokov. čl. 272 Trestného zákona neupravuje situácie, kedy k protiprávnemu prístupu k informáciám dôjde z nedbanlivosti, keďže pri zisťovaní okolností sprístupnenia je často mimoriadne ťažké dokázať úmysel trestného činu. Pri sledovaní odkazov z jedného počítača na druhý na internete, ktorý spája milióny počítačov, sa tak ľahko dostanete do chránenej informačnej zóny počítača bez toho, aby ste si to vôbec všimli (hoci účelom môžu byť aj kriminálne útoky). čl. § 273 Trestného zákona ustanovuje trestnú zodpovednosť za vytváranie, používanie a šírenie škodlivých programov pre počítače alebo úpravu softvéru, ktorá vedome vedie k neoprávnenému zničeniu, blokovaniu, pozmeňovaniu, kopírovaniu informácií alebo narušeniu informačných systémov. Článok chráni práva vlastníka počítačového systému na nedotknuteľnosť informácií v ňom uložených. Škodlivé programy sú akékoľvek programy, ktoré sú špeciálne navrhnuté tak, aby narušili normálne fungovanie iných počítačových programov.

Normálne fungovanie znamená vykonávanie operácií, pre ktoré sú tieto programy určené a ktoré sú definované v dokumentácii programu. Najbežnejšími škodlivými programami sú počítačové vírusy, logické bomby a programy známe ako trójske kone. Postaviť pred súd podľa čl. Nie je nevyhnutné, aby to malo pre vlastníka informácie nežiaduce následky, stačí samotná skutočnosť vytvorenia škodlivých programov alebo vykonania zmien v existujúcich programoch, ktoré zjavne vedú k následkom uvedeným v článku. Za použitie programov sa považuje ich zverejňovanie, rozmnožovanie, distribúcia a iné úkony na uvedenie do obehu. Používanie programov sa môže uskutočňovať ich zaznamenaním do pamäte počítača alebo na fyzické médium, ich distribúciou cez siete alebo iným prenosom iným používateľom.

Trestná zodpovednosť podľa čl. 273 vzniká v dôsledku vytvárania škodlivých programov bez ohľadu na ich skutočné použitie. Dokonca aj prítomnosť zdrojových kódov programov je dôvodom na trestné stíhanie. Výnimkou sú aktivity organizácií, ktoré vyvíjajú antimalvérové ​​nástroje a majú príslušné licencie. Článok pozostáva z dvoch častí, ktoré sa líšia v postoji páchateľa k páchanému konaniu. Časť 1 sa zaoberá trestnými činmi spáchanými úmyselne s vedomím, že vytváranie, používanie alebo distribúcia škodlivých programov musí zjavne viesť k narušeniu integrity informácií. V tomto prípade zodpovednosť nastáva bez ohľadu na ciele a motívy zásahu, čo môže byť celkom pozitívne (napríklad ochrana osobných práv občanov, boj proti nebezpečenstvám spôsobeným človekom, ochrana životného prostredia atď.). Najvyšším trestom pre prvú časť je trest odňatia slobody až na tri roky. Podľa časti 2 je ďalším kvalifikačným znakom výskyt vážnych následkov z nedbanlivosti. V takom prípade si je osoba vedomá toho, že vytvára, používa alebo šíri škodlivý program alebo jeho médiá, a predvída možnosť vážnych následkov, ale bez dostatočných dôvodov očakáva, že im zabráni, alebo tieto následky nepredvída, hoci je veľmi kvalifikovaného programátora mohol a bol povinný ich predvídať. Keďže následky môžu byť veľmi vážne (smrť alebo ublíženie na zdraví, nebezpečenstvo vojenskej alebo inej katastrofy, dopravné nehody), maximálny trest podľa časti 2 je sedem rokov väzenia. Všimnite si, že zákon nehovorí o miere spôsobenej škody, na rozdiel od krádeže, kedy sa rozlišuje jednoduchá krádež, veľká krádež a veľká krádež. Tu sa zisťuje len skutková podstata trestného činu a výška škody ovplyvňuje len posúdenie jeho závažnosti a miery zodpovednosti. Napokon čl. 274 Trestného zákona zakladá zodpovednosť za porušenie pravidiel prevádzky počítačov, počítačových systémov alebo sietí osobou, ktorá k nim má prístup, v dôsledku čoho dôjde k zničeniu, zablokovaniu alebo zmene zákonom chránených informácií, ak týmto konaním bola spôsobená značná ujma. Tento článok chráni záujmy vlastníka počítačového systému s ohľadom na jeho riadnu prevádzku a vzťahuje sa len na lokálne počítačové siete organizácií. Tento článok sa nevzťahuje na globálne počítačové siete, ako je internet.

Informáciou chránenou zákonom sa rozumie informácia, pre ktorú osobitné zákony ustanovujú režim ich právnej ochrany. Medzi skutočnosťou porušenia prevádzkového poriadku a vzniknutou značnou škodou musí byť zistená príčinná súvislosť a musí byť plne preukázané, že vzniknuté škodlivé následky sú dôsledkom porušenia pravidiel. Posúdenie spôsobenej ujmy určuje súd podľa okolností prípadu a má sa za to, že značná ujma je menej významná ako ťažké následky.

Predmetom tohto článku je osoba, ktorá má z titulu svojich služobných povinností prístup do počítačového systému a je povinná dodržiavať pre ňu ustanovené technické pravidlá. Podľa 1. časti článku musí svoje činy spáchať úmyselne; uvedomte si, že porušujú pravidlá prevádzky; predvídať možnosť alebo nevyhnutnosť nezákonného ovplyvňovania informácií a spôsobiť značnú ujmu, túžiť alebo vedome dovoliť, aby k takejto škode došlo, alebo byť k jej výskytu ľahostajný. Najprísnejším trestom je v tomto prípade odňatie práva zastávať určité funkcie alebo vykonávať určitú činnosť až na päť rokov, prípadne obmedzenie slobody až na dva roky. Časť 2 čl. 274 stanovuje zodpovednosť za tie isté činy, ktoré nemali úmysel, ale mali vážne následky z nedbanlivosti, napríklad pri inštalácii infikovaného programu bez antivírusovej kontroly, ktorá mala vážne následky (veľké finančné škody, dopravné nehody, strata dôležitých archívov, narušenie systému podpory života v nemocnici atď.). Trestnú sadzbu za tento trestný čin určí súd podľa následkov, horná hranica trestu odňatia slobody je až na štyri roky. Ako vidíte, posudzované články Trestného zákona nepokrývajú všetky druhy počítačových trestných činov, ktorých rozmanitosť narastá s pokrokom v oblasti výpočtovej techniky a jej využívania.

Niektoré formulácie článkov navyše umožňujú nejednoznačný výklad, napríklad pri definícii nekalého úmyslu. Preto je v budúcnosti možné tieto články dopĺňať a vylepšovať.

Záver

Informačná bezpečnosť v kontexte globalizácie a rastúcej otvorenosti krajín zohráva zásadnú úlohu pri realizácii životných záujmov jednotlivca, spoločnosti a štátu. Je to spôsobené rozšíreným vytváraním rozvinutého informačného prostredia. Práve cez informačné prostredie sa v moderných podmienkach často realizujú ohrozenia národnej bezpečnosti Ruskej federácie.

Informačnú bezpečnosť jednotlivcov v spoločnosti a štáte možno efektívne zabezpečiť len systémom opatrení, ktoré sú cielené a komplexné. Osobitný význam pre formovanie a implementáciu politiky informačnej bezpečnosti má kompetentné využívanie politických nástrojov. V súčasnosti však neexistuje dostatočné vedecké štúdium otázok súvisiacich s určovaním úlohy politického faktora v systéme informačnej bezpečnosti, čo je do značnej miery spôsobené prechodným stavom ruskej spoločnosti a potrebou prehodnotiť množstvo teoretických a metodologických problémov.

Informačné faktory nadobúdajú čoraz väčší význam v politickej, ekonomickej, sociálnej, vojenskej, duchovnej sfére života ruskej spoločnosti a informačné prostredie pôsobí ako systémotvorný faktor národnej bezpečnosti a aktívne ovplyvňuje stav politickej, ekonomickej, vojenskej duchovných a iných zložiek celkového systému národnej bezpečnosti Ruskej federácie. Informačná sféra je zároveň samostatnou sférou národnej bezpečnosti, v ktorej je potrebné zabezpečiť ochranu informačných zdrojov, systémov ich tvorby, distribúcie a využívania, informačnú infraštruktúru a realizáciu práv na informácie právnické osoby a občania.

Informačná bezpečnosť ako samostatná oblasť vedeckého poznania vychádza z teórie bezpečnosti, kybernetiky a informatiky. Hlavnými metódami štúdia informačnej bezpečnosti sú v súčasnosti najčastejšie pozorovanie (vrátane zúčastneného pozorovania), expertné hodnotenie, sociologické prieskumy verejnej mienky (vrátane rozhovorov), logické a matematické modelovanie. Na zistenie stavu ochrany záujmov podnikov a organizácií s podnikovými informačnými sieťami je najvhodnejšia metóda odborných posudkov.

Koncepčný aparát informačnej bezpečnosti tvoria tieto kategórie: „bezpečnosť“, „národná bezpečnosť“, „záujem“, „životný záujem“, „sféra života“, „informácie“, „informačná spoločnosť“, „informačné zdroje“, „ochrana“, „politika informačnej bezpečnosti“ atď.

Úloha zabezpečiť národnú bezpečnosť Ruska prostredníctvom transferu nehmotných technológií zostáva aktuálna. Do spravodajskej sféry sa čoraz viac zapájajú otázky najnovších technológií, financií, obchodu, zdrojov a iných ekonomických aspektov činnosti štátu, ku ktorým sa otvára prístup v súvislosti s rozvojom medzinárodných integračných procesov a rozsiahlym zavádzaním informatizácie v týchto oblastiach. činnosti.

Osobitné miesto v legislatíve by mali mať právne vzťahy vznikajúce v procese používania počítačových systémov a sietí. Je potrebný štátny mechanizmus na vyšetrovanie počítačových zločinov a systém školenia personálu pre vyšetrovanie a súdne konanie v prípadoch súvisiacich s počítačovou kriminalitou a nelegálnym používaním internetu.

Zdroje občianskej spoločnosti by sa mali vo väčšej miere zapojiť do zabezpečovania informačnej bezpečnosti. Je zrejmé, že štát sám nie je schopný plne zvládnuť úlohu zabezpečenia informačnej bezpečnosti všetkých subjektov informačných vzťahov. Ak dnes v zmysle zákona plne zodpovedá len za ochranu štátneho tajomstva, tak vo väčšine ostatných prípadov pri neistote podielu účasti štátu bremeno zaistenia informačnej bezpečnosti padá na plecia občanov, resp. spoločnosti. To spĺňa ústavný princíp sebaobrany svojich záujmov všetkými prostriedkami, ktoré zákon nezakazuje. Orgány verejnej moci musia jasne definovať svoje právomoci na základe skutočných schopností a stanovených priorít pri zabezpečovaní informačnej bezpečnosti.

Zoznam použitej literatúry

1. Yu.I. Kudinov, F. F. Paščenko. Základy modernej informatiky: Učebnica. 2. vydanie, rev. - Petrohrad: Vydavateľstvo Lan, 2011. - 256 s.: ill. -- (Učebnice pre vysoké školy. Odborná literatúra).

2. Averyanov G.P., Dmitrieva V.V. MODERNÁ POČÍTAČOVÁ VEDA: Učebnica. M.: Národná výskumná jadrová univerzita MEPhI, 2011. - 436 s.

3. Taganov, L. S. Informatika: učebnica. manuál / L. S. Taganov, A. G. Pimonov; Kuzbass. štát tech. univ. - Kemerovo, 2010. - 330 s.

4. Verbenko, Boris Vladimirovič. Dizertačná práca pre akademický titul kandidáta politických vied

Praktická práca č.1

"Analýza rizika informačnej bezpečnosti"

  1. Cieľ práce

Oboznámte sa s algoritmami hodnotenia rizika informačnej bezpečnosti.

Riziko informačnej bezpečnosti– potenciálna možnosť využitia určitého ohrozenie zraniteľnosti aktív alebo skupina aktív spôsobiť organizácii škodu.

Zraniteľnosť- slabina obranného systému, ktorá umožňuje hrozbu.

Ohrozenie informačnej bezpečnosti- súbor podmienok a faktorov, ktoré môžu spôsobiť narušenie integrity, dostupnosti a dôvernosti informácií.

Informačné aktívum– je hmotný alebo nehmotný predmet, ktorý:

Je informácia alebo obsahuje informáciu

Slúži na spracovanie, ukladanie alebo prenos informácií,

Má hodnotu pre organizáciu.

Cvičenie

1. Stiahnite si GOST R ISO/IEC TO 13335-3-2007 „METÓDY A BEZPEČNOSTNÉ PROSTRIEDKY. Časť 3 „Metódy riadenia bezpečnosti informačných technológií“

2. Zoznámte sa Prílohy C, D A E GOST.

3. Vyberte tri rôzne aktíva organizačných informácií (pozri možnosť).

4. Od Príloha D GOST, vyberte tri konkrétne zraniteľné miesta v systéme ochrany špecifikovaných informačných aktív.

5. Využívanie výhod Príloha C GOST, zapíšte si tri hrozby, ktorých implementácia je možná, kým sa v systéme neodstránia zraniteľnosti uvedené v odseku 4.

6. Pomocou jednej z metód (pozri možnosť) navrhovaných v Príloha E GOST, posúdiť riziká informačnej bezpečnosti.

7. Hodnota informačného aktíva sa posudzuje na základe možných strát pre organizáciu v prípade realizácie hrozby.

1. Titulná strana

3. Úloha

4. Odôvodnenie výber informačných aktív organizácie

5. Posudzovanie hodnoty informačných aktív

6. Zraniteľnosť systému informačnej bezpečnosti

7. Ohrozenie informačnej bezpečnosti

8. Hodnotenie rizika

možnosti

Možnosť – číslo podľa zoznamu v časopise.

Číslo možnosti Organizácia Metóda hodnotenia rizika (pozri prílohu E GOST)
Pobočka komerčnej banky
POLIKLINIKA
vysoká škola
Kancelária poisťovne
Personálna agentúra
Internetový obchod
Centrum pre poskytovanie verejných služieb
Policajné oddelenie
audítorská spoločnosť
Dizajnérska firma
Kancelária poskytovateľa internetu
Advokátska kancelária
Spoločnosť zaoberajúca sa vývojom softvéru tretej strany
Realitná kancelária
Turistická kancelária
Kancelária charitatívnej nadácie
Nakladateľstvo
Poradenská firma
Reklamná agentúra
Pobočka daňových služieb
Notársky úrad
Prekladateľská agentúra (dokumenty)
Vedecký dizajnérsky podnik
Manželská agentúra
redakcia novín
Hotel
Event Agency
Mestský archív
Expedičná služba taxi
Železničná pokladňa

Praktická práca č.2.

„Budovanie konceptu bezpečnosti podnikových informácií“

  1. Cieľ práce

Oboznámenie sa so základnými princípmi budovania koncepcie informačnej bezpečnosti podniku s prihliadnutím na vlastnosti jeho informačnej infraštruktúry.

  1. Stručné teoretické informácie

Pred vytvorením systémov informačnej bezpečnosti si množstvo domácich regulačných dokumentov (GOST R ISO/IEC 15408 GOST R ISO/IEC 27000 GOST R ISO/IEC 17799) a medzinárodných noriem (ISO 27001/17799) priamo vyžaduje vypracovanie základných dokumentov. Koncepcie a zásady informačnej bezpečnosti. Ak Koncepcia informačnej bezpečnosti definuje všeobecne, ČO je potrebné urobiť na ochranu informácií, Politika podrobne opisuje ustanovenia Koncepcie a hovorí AKO, akými prostriedkami a metódami by sa mali realizovať.

Koncept informačnej bezpečnosti sa používa na:

· prijímanie informovaných manažérskych rozhodnutí o vývoji opatrení informačnej bezpečnosti;

· vypracovanie súboru organizačných, technických a technologických opatrení na identifikáciu hrozieb informačnej bezpečnosti a predchádzanie následkom ich implementácie;

· koordinuje činnosť útvarov pri vytváraní, rozvoji a prevádzke informačného systému v súlade s požiadavkami informačnej bezpečnosti;

· av neposlednom rade za formovanie a implementáciu jednotnej politiky v oblasti informačnej bezpečnosti .

Cvičenie

Pomocou navrhnutých vzorov vytvorte koncepciu informačnej bezpečnosti spoločnosti (pozri možnosť) obsahujúcu nasledujúce hlavné body (uvedené ukážkový plán, ktorý možno v prípade potreby zmeniť):

Všeobecné ustanovenia

Účel koncepcie zabezpečenia informačnej bezpečnosti.

1.2. Ciele systému informačnej bezpečnosti

1.3. Ciele systému informačnej bezpečnosti.

Problematická situácia v oblasti informačnej bezpečnosti

2.1. Objekty informačnej bezpečnosti.

2.2. Identifikácia pravdepodobného porušovateľa.

2.3. Opis charakteristík (profilu) každej skupiny potenciálnych porušovateľov.

2.4. Hlavné typy hrozieb pre bezpečnosť podnikových informácií.

Informácie sú informácie o osobách, predmetoch, faktoch, udalostiach, javoch a procesoch bez ohľadu na formu ich prezentácie. Informácie znižujú mieru neistoty, neúplnosti vedomostí o osobách, predmetoch, udalostiach atď.

Ochrana informácií je proces vytvárania a používania špeciálnych mechanizmov v automatizovaných systémoch, ktoré udržujú stanovený stav ich bezpečnosti.

V súčasnosti univerzálna informatizácia, blahobyt a dokonca životy mnohých ľudí závisí od zabezpečenia informačnej bezpečnosti mnohých počítačových systémov spracovania informácií, ako aj od kontroly a správy rôznych objektov. Medzi takéto objekty (nazývajú sa kritické) patria telekomunikačné systémy, bankové systémy, jadrové elektrárne, systémy riadenia leteckej a pozemnej dopravy, ako aj systémy na spracovanie a uchovávanie tajných a dôverných informácií.

Dôverná informácia je subjektívne určená charakteristika alebo vlastnosť informácie naznačujúca potrebu zavedenia obmedzení okruhu subjektov, ktoré majú prístup k týmto informáciám, a zabezpečená schopnosťou systému utajiť tieto informácie pred subjektmi, ktoré nemajú oprávnenie k nemu pristupovať. Dôverné informácie, ktoré môžu byť zaujímavé pre konkurentov, musia byť chránené. Skrývanie informácií je motivované nielen strachom z úniku dôverných údajov, ale aj pokusmi o zmeny v databázach alebo pracovnej dokumentácii, ktoré môžu viesť nielen k stratám, ale aj k zastaveniu práce podniku.

Aby systémy fungovali správne a bezpečne, musí byť zachovaná ich bezpečnosť a integrita.

K dnešnému dňu boli sformulované tri základné princípy informačnej bezpečnosti, ktoré by mali zabezpečiť:

integrita údajov - ochrana pred zlyhaniami vedúcimi k strate informácií, ako aj neoprávneným vytváraním alebo zničením údajov;

dôvernosť informácií;

Počítače, často pripojené k sieti, môžu poskytnúť prístup k obrovskému množstvu rôznych údajov. Rozsiahly rozvoj počítačových sietí a ich integrácia s verejnými informačnými systémami okrem výhod prináša aj nové hrozby pre informačnú bezpečnosť.

Príčiny vzniku nových hrozieb sú charakterizované:

zložitosť a rozmanitosť používaného sieťového softvéru a hardvéru;

veľký počet uzlov siete zúčastňujúcich sa na elektronickej výmene informácií, ich územná distribúcia a neschopnosť kontrolovať všetky nastavenia;

dostupnosť systémových informácií pre externých používateľov (klientov, partnerov a pod.) vďaka ich umiestneniu na fyzicky pripojených médiách.

Ľudia sa preto obávajú informačnej bezpečnosti a rizík spojených s automatizáciou a poskytovaním oveľa väčšieho prístupu k dôverným, osobným alebo iným kritickým údajom.

Elektronické pamäťové médiá sú ešte zraniteľnejšie ako papierové: tie, ktoré sú na nich uložené, možno zničiť, skopírovať a potichu upraviť.

Rastie počet počítačových zločinov a zvyšuje sa aj rozsah zneužívania počítačov. Škody z počítačových trestných činov sa podľa odborníkov ročne zvyšujú o 35 percent. Jedným z dôvodov je množstvo peňazí, ktoré tento zločin vygeneroval: kým priemerná počítačová kriminalita stojí odškodné 560 000 dolárov, banková lúpež stojí len 19 000 dolárov. Podľa University of Minnesota v USA 93 percent spoločností, ktoré stratili prístup k svojim údajom na viac ako 10 dní, opustilo svoje podnikanie a polovica z nich okamžite vyhlásila platobnú neschopnosť.

Počet zamestnancov v organizácii s prístupom k výpočtovej technike a informačným technológiám sa neustále zvyšuje. Prístup k informáciám už nie je obmedzený len na úzky okruh ľudí na vrchole organizácie. Čím viac ľudí získa prístup k informačným technológiám a počítačovému vybaveniu, tým viac príležitostí na páchanie počítačovej trestnej činnosti existuje.

Počítačovým zločincom môže byť každý. Mladý hacker aj zamestnanec. Počítačové zločiny spáchané bielymi goliermi tvoria 70 až 80 percent ročných strát súvisiacich s počítačmi.

Známky počítačových zločinov:

Krádež počítačových častí;

Krádež softvéru;

Fyzické zničenie zariadení;

Zničenie údajov alebo programov.

Toto sú len najzreteľnejšie znaky, ktorým by ste mali venovať pozornosť pri identifikácii počítačových zločinov. Niekedy tieto znaky naznačujú, že už bol spáchaný trestný čin alebo že nie sú dodržané ochranné opatrenia. Označujú tiež prítomnosť zraniteľných miest a naznačujú, kde sa nachádzajú bezpečnostné medzery.

Informačná bezpečnosť sa vzťahuje na bezpečnosť informácií a ich podpornej infraštruktúry pred akýmikoľvek náhodnými alebo škodlivými vplyvmi, ktoré môžu viesť k poškodeniu samotných informácií, ich vlastníkov alebo podpornej infraštruktúry. Ciele informačnej bezpečnosti spočívajú v minimalizácii škôd, ako aj v predvídaní a predchádzaní takýmto dopadom.

Akcie, ktoré poškodzujú informačnú bezpečnosť organizácie, možno rozdeliť do niekoľkých kategórií.

  • 1. Akcie vykonávané oprávnenými používateľmi
  • 1.1. Cielená krádež a zničenie údajov na pracovnej stanici alebo serveri;
  • 1.2. Poškodenie údajov používateľom v dôsledku neopatrných akcií.
  • 2. „Elektronické“ metódy ovplyvňovania vykonávané hackermi
  • 2.1. Neoprávnené prenikanie do počítačových sietí
  • 2.2. DOS útoky

Účelom neoprávneného vstupu do podnikovej siete zvonku môže byť spôsobenie škody (zničenie údajov), odcudzenie dôverných informácií a ich použitie na nezákonné účely, použitie sieťovej infraštruktúry na organizovanie útokov na uzly tretích strán, krádeže finančných prostriedkov z účtov, atď. Útok DOS (skrátene od Denial of Service) je externý útok na uzly podnikovej siete zodpovedný za jej bezpečnú a efektívnu prevádzku (súbor, poštové servery). Útočníci organizujú masívne posielanie dátových paketov do týchto uzlov, aby ich preťažili a v konečnom dôsledku na nejaký čas vyradili z činnosti. To spravidla znamená narušenie obchodných procesov spoločnosti - obete, strata zákazníkov, poškodenie dobrého mena atď.

3. Počítačové vírusy sú typom škodlivých programov, ktorých charakteristickou črtou je schopnosť reprodukovať, poškodiť alebo úplne zničiť údaje.

Samostatnou kategóriou elektronických metód ovplyvňovania sú počítačové vírusy a iné škodlivé programy. Predstavujú skutočné nebezpečenstvo pre moderné podniky, ktoré vo veľkej miere využívajú počítačové siete, internet a e-mail. Preniknutie vírusu do uzlov podnikovej siete môže viesť k narušeniu ich fungovania, strate pracovného času, strate dát, krádeži dôverných informácií a dokonca aj priamej krádeži finančných prostriedkov. Vírusový program, ktorý prenikol do podnikovej siete, môže útočníkom poskytnúť čiastočnú alebo úplnú kontrolu nad aktivitami spoločnosti.

4. Spam (angl. spam) – správy hromadne zasielané ľuďom, ktorí nesúhlasili s ich prijímaním (platí pre emaily).

E-mail sa nedávno stal hlavným distribučným kanálom pre malvér;

Spam si vyžaduje veľa času na prezeranie a následné mazanie správ, čo spôsobuje zamestnancom pocit psychického nepohodlia;

Jednotlivci aj organizácie sa stávajú obeťami podvodných schém, ktoré vykonávajú spameri (obete sa často snažia takéto udalosti nezverejniť);

Spolu so spamom sa korešpondencia často vymaže, čo môže viesť k strate klientov, porušeniu zmlúv a iným nepríjemným následkom, najmä pri používaní čiernych listín RBL a iných „hrubých“ metód filtrovania spamu.

"Prirodzené" hrozby

Bezpečnosť informácií spoločnosti môže byť ovplyvnená rôznymi vonkajšími faktormi: strata údajov môže byť spôsobená nesprávnym ukladaním, krádežou počítačov a médií, vyššou mocou atď.

Proces informatizácie spoločnosti má spolu s pozitívnymi dôsledkami aj množstvo negatívnych stránok. Každoročne narastá počet trestných činov, pri ktorých sú predmetom trestných útokov informácie, ako aj trestných činov, pri ktorých informácie slúžia ako prostriedok páchania trestnej činnosti.

Základným zákonom Ruskej federácie je ústava prijatá 12. decembra 1993. Štátne orgány a orgány územnej samosprávy sú v súlade s článkom 24 ústavy povinní poskytnúť každému možnosť oboznámiť sa s dokumentmi a materiálmi, ktoré sa priamo dotýkajú jeho práv a slobôd, ak zákon neustanovuje inak.

Článok 23 ústavy zaručuje právo na osobné a rodinné tajomstvá, na súkromie korešpondencie, telefonických rozhovorov, poštových, telegrafných a iných správ, článok 29 – právo slobodne vyhľadávať, prijímať, prenášať, produkovať a rozširovať informácie v akomkoľvek právnom poriadku. spôsobom. Moderný výklad týchto ustanovení zahŕňa zabezpečenie dôvernosti údajov, a to aj počas ich prenosu cez počítačové siete, ako aj prístup k opatreniam na bezpečnosť informácií.

Článok 41 zaručuje právo poznať skutočnosti a okolnosti, ktoré ohrozujú život a zdravie ľudí, článok 42 - právo poznať spoľahlivé informácie o stave životného prostredia.

Pripomeňme, že právo na informácie je možné uplatniť aj prostredníctvom papierových technológií, no v moderných podmienkach je pre občanov najpraktickejšie a najpohodlnejšie vytvorenie informačných serverov príslušnými zákonodarnými, výkonnými a súdnymi orgánmi a zachovanie dostupnosti, relevantnosti a integritu informácií na nich prezentovaných, teda zabezpečenie informačnej bezpečnosti ich (serverov).

V septembri 2000 prezident Ruskej federácie V. V. Putin schválil „Doktrínu informačnej bezpečnosti“. Akú úlohu bude zohrávať pri rozvoji domácich informačných technológií a nástrojov informačnej bezpečnosti?

Informačné technológie sú rýchlo a dynamicky sa rozvíjajúce odvetvie svetovej ekonomiky. Objem trhu informačných produktov je viac ako 2 bilióny amerických dolárov, čo je porovnateľné s podnikaním v oblasti palív a energetiky a automobilového priemyslu. Vážne nebezpečenstvo pre Rusko predstavuje túžba niekoľkých krajín ovládnuť globálny informačný priestor, vytlačiť Rusko z domáceho a zahraničného trhu informačných služieb a rozvoj koncepcií „informačnej vojny“ v mnohých štátoch. Takéto koncepcie zabezpečujú vytváranie prostriedkov na ovplyvňovanie informačných sfér iných krajín sveta, narúšajú normálne fungovanie informačných a telekomunikačných systémov, ako aj bezpečnosť informačných zdrojov a získavajú k nim neoprávnený prístup.

„Doktrína informačnej bezpečnosti“ kladie základy informačnej politiky štátu. Berúc do úvahy existujúce hrozby ochrany národných záujmov Ruska, štát plánuje aktívne rozvíjať domáci mediálny, komunikačný a komunikačný priemysel s následným vstupom produktov na svetový trh, poskytovať bezpečnostné záruky pre národné informačné a telekomunikačné systémy a ochrany štátneho tajomstva pomocou vhodných technických prostriedkov. Zároveň sa plánuje zvýšiť efektívnosť informačnej podpory činnosti štátu.


Prijatím tohto dokumentu sa do programu dostáva aj otázka potreby zlepšenia ruskej legislatívy. Hovoríme napríklad o prijímaní zákonov súvisiacich s potláčaním počítačovej kriminality.

Uveďme niektoré základné zákony a predpisy Ruskej federácie v oblasti informačnej bezpečnosti v ich prvom vydaní:

1. Zákon Ruskej federácie „O štátnych tajomstvách“ z 21. júla 1993 č. 5485-1.

2. Zákon Ruskej federácie „o obchodnom tajomstve“ (verzia 12/28/94).

3. Zákon Ruskej federácie „O informáciách, informatizácii a ochrane informácií“ z 25. januára 1995.

4. Zákon Ruskej federácie „O osobných údajoch“ (verzia 02.20.95).

5. Zákon Ruskej federácie „O federálnych orgánoch vládnej komunikácie a informácií“ z 19. februára 1993 č. 4524-1.

6. Predpisy o štátnom systéme ochrany informácií v Ruskej federácii pred technickým personálom a pred únikom cez technické kanály. (uznesenie vlády Ruskej federácie z 15. septembra 1993 č. 912-51).

7. Predpisy o Štátnej technickej komisii pod vedením prezidenta Ruskej federácie (Štátna technická komisia Ruska). Rozkaz prezidenta Ruskej federácie z 28. decembra 1992 č. 829-rps.

V súčasnosti sú takmer všetky tieto zákony a nariadenia spresnené a doplnené o príslušné kapitoly, paragrafy a novely, ktoré reflektujú realitu súčasnej situácie.

Občiansky zákonník Ruskej federácie (v znení zmien a doplnkov z 15. mája 2001) zahŕňa také pojmy ako bankové, obchodné a úradné tajomstvo. Podľa článku 139 „informácia predstavuje úradné alebo obchodné tajomstvo v prípade, ak má informácia skutočnú alebo potenciálnu komerčnú hodnotu, pretože je neznáma tretím stranám, nie je k nej na právnom základe voľný prístup a vlastník informácie prijímajú opatrenia na ochranu ich dôvernosti.“ To znamená prinajmenšom kompetenciu v otázkach informačnej bezpečnosti a dostupnosť dostupných (a zákonných) prostriedkov na zabezpečenie dôvernosti.

V Trestnom zákone Ruskej federácie (v znení novely zo 14. marca 2002) obsahuje kapitola 28 „Trestné činy v oblasti počítačových informácií“ tri relevantné články:

  • Článok 272 „Nezákonný prístup k počítačovým informáciám“;
  • Článok 273 „Vytváranie, používanie a distribúcia škodlivých počítačových programov“;
  • Článok 274 „Porušenie pravidiel prevádzky počítačov, počítačových systémov alebo ich sietí“.

Prvý z týchto článkov zahŕňa útoky na dôvernosť, druhý definuje akcie s malvérom, tretí - s narušením dostupnosti a integrity, čo vedie k zničeniu, zablokovaniu alebo zmene informácií chránených zákonom. Vzhľadom na rýchly rozvoj miestnych, regionálnych, národných a celosvetových sietí je zahrnutie otázok dostupnosti informačných služieb do pôsobnosti Trestného zákona Ruskej federácie veľmi aktuálne.

Článok 138 Trestného zákona Ruskej federácie, ktorý chráni dôvernosť osobných údajov, stanovuje tresty za porušenie tajomstva korešpondencie, telefonických rozhovorov, poštových, telegrafných alebo iných správ. V prípade bankového a obchodného tajomstva zohráva podobnú úlohu článok 183 Trestného zákona Ruskej federácie.

Záujmy štátu v oblasti zabezpečenia dôvernosti informácií sa naplno prejavili v zákone „O štátnom tajomstve“ (v znení zmien a doplnkov zo 6. októbra 1997). Štátne tajomstvo definuje ako informácie chránené štátom v oblasti jeho vojenskej, zahraničnopolitickej, ekonomickej, spravodajskej, kontrarozviedky a operatívnej vyšetrovacej činnosti, ktorých šírenie by mohlo poškodiť bezpečnosť Ruskej federácie. Poskytuje tiež definíciu opatrení informačnej bezpečnosti. Podľa tohto zákona ide o technické, kryptografické, programové a iné prostriedky určené na ochranu informácií tvoriacich štátne tajomstvo; prostriedky, ktorými sa realizujú, ako aj prostriedky monitorovania účinnosti ochrany informácií.

to "O informáciách, informatizácii a ochrane informácií"

Za základný zákon medzi ruskými zákonmi venovanými problematike informačnej bezpečnosti treba považovať zákon „o informáciách, informatizácii a ochrane informácií“ z 20. februára 1995 (prijatý Štátnou dumou Ruskej federácie 25. januára 1995; aktuálna verzia zákona č. zákona z 21. júla 2014). Poskytuje základné definície a načrtáva smery vývoja legislatívy v tejto oblasti.

Tu je niekoľko príkladov definícií:

  • informácie - informácie o osobách, predmetoch, skutočnostiach, udalostiach, javoch a procesoch bez ohľadu na formu ich prezentácie;
  • zdokumentovaná informácia (dokument) - informácia zaznamenaná na hmotnom nosiči s podrobnosťami, ktoré umožňujú ich identifikáciu;
  • informačné procesy - procesy zhromažďovania, spracovania, zhromažďovania, uchovávania, vyhľadávania a distribúcie informácií;
  • informačný systém - organizačne usporiadaný súbor dokumentov (súborov dokumentov) a informačných technológií vrátane využívania výpočtovej techniky a komunikácií, ktoré realizujú informačné procesy;
  • informačné zdroje - jednotlivé dokumenty a jednotlivé polia dokumentov, dokumenty a polia dokumentov v informačných systémoch (knižnice, archívy, fondy, databanky, iné informačné systémy);
  • informácie o občanoch (osobné údaje) - informácie o skutočnostiach, udalostiach a okolnostiach života občana, umožňujúce identifikovať jeho osobnosť;
  • dôverné informácie - zdokumentované informácie, ku ktorým je prístup obmedzený v súlade s právnymi predpismi Ruskej federácie;
  • užívateľ (spotrebiteľ) informácií - subjekt, ktorý sa obráti na informačný systém alebo sprostredkovateľa, aby získal informácie, ktoré potrebuje a používa ich.

Zákon určuje tieto účely ochrany informácií:

  • predchádzanie úniku, krádeži, strate, skresleniu, falšovaniu informácií;
  • predchádzanie ohrozeniu bezpečnosti jednotlivcov, spoločnosti a štátu;
  • predchádzanie neoprávneným činnostiam na zničenie, úpravu, skreslenie, kopírovanie, blokovanie informácií;
  • predchádzanie iným formám nezákonných zásahov do informačných zdrojov a informačných systémov, zabezpečenie právneho režimu dokumentovaných informácií ako predmetu vlastníctva;
  • ochrana ústavných práv občanov na zachovanie osobného tajomstva a dôvernosti osobných údajov dostupných v informačných systémoch;
  • zachovávanie štátneho tajomstva, dôvernosť zdokumentovaných informácií v súlade so zákonom;
  • zabezpečenie práv subjektov pri informačných procesoch a pri vývoji, výrobe a aplikácii informačných systémov, technológií a prostriedkov na ich podporu.

Podľa zákona „akákoľvek zdokumentovaná informácia podlieha ochrane, ktorej nezákonné nakladanie môže spôsobiť škodu jej vlastníkovi, vlastníkovi, používateľovi alebo inej osobe“. Ďalej „Režim ochrany informácií je nastavený:

  • vo vzťahu k informáciám klasifikovaným ako štátne tajomstvo - oprávnenými orgánmi na základe zákona Ruskej federácie „o štátnom tajomstve“;
  • vo vzťahu k dôverným dokumentovaným informáciám - vlastníkom informačných zdrojov alebo oprávnenou osobou na základe tohto spolkového zákona;
  • vo vzťahu k osobným údajom - federálnym zákonom."

Upozorňujeme, že štát preberá na seba ochranu štátnych tajomstiev a osobných údajov; Za ostatné dôverné informácie zodpovedajú jeho vlastníci.

Ako hlavný nástroj na ochranu informácií zákon ponúka účinné univerzálne prostriedky – licencovanie a certifikáciu (článok 19):

  1. Informačné systémy, databázy a dátové banky určené na informačné služby občanom a organizáciám podliehajú certifikácii spôsobom ustanoveným zákonom Ruskej federácie „o certifikácii produktov a služieb“.
  2. Informačné systémy vládnych orgánov Ruskej federácie a vládnych orgánov zakladajúcich subjektov Ruskej federácie, iných vládnych orgánov, organizácií, ktoré spracúvajú dokumentované informácie s obmedzeným prístupom, ako aj prostriedky na ochranu týchto systémov podliehajú povinnej certifikácii. Postup certifikácie je určený právnymi predpismi Ruskej federácie.
  3. Licencie na tento druh činnosti dostávajú organizácie vykonávajúce práce v oblasti projektovania, výroby zariadení informačnej bezpečnosti a spracovania osobných údajov. Postup udeľovania licencií je určený právnymi predpismi Ruskej federácie.
  4. Záujmy spotrebiteľa informácií pri používaní dovážaných produktov v informačných systémoch sú chránené colnými orgánmi Ruskej federácie na základe medzinárodného certifikačného systému.

Niekoľko ďalších bodov zákona (článok 22, odseky 2-5):

  1. Vlastník dokumentov, súboru dokumentov, informačných systémov zabezpečuje úroveň ochrany informácií v súlade s legislatívou Ruskej federácie.
  2. Riziko spojené s používaním necertifikovaných informačných systémov a prostriedkov na ich podporu spočíva na vlastníkovi (držiteľovi) týchto systémov a prostriedkov. Riziko spojené s použitím informácií získaných z necertifikovaného systému spočíva na spotrebiteľovi informácií.
  3. Vlastník dokumentov, celého radu dokumentov, informačných systémov môže kontaktovať organizácie, ktoré certifikujú prostriedky ochrany informačných systémov a informačných zdrojov, aby analyzoval dostatočnosť opatrení na ochranu zdrojov a systémov vlastníka a získal poradenstvo.
  4. Vlastník dokumentov, súboru dokumentov, informačných systémov je povinný upozorniť vlastníka informačných zdrojov a (alebo) informačných systémov na všetky skutočnosti porušenia režimu informačnej bezpečnosti.

Článok 23 „Ochrana práv subjektov v oblasti informačných procesov a informatizácie“ (odseky 2-4):

  1. Ochranu práv subjektov v tejto oblasti vykonáva súd, rozhodcovský súd, rozhodcovský súd s prihliadnutím na špecifiká priestupkov a spôsobenú škodu. Veľmi dôležité sú odseky článku 5 týkajúce sa právnej sily elektronického dokumentu a elektronického digitálneho podpisu.
  2. Právnu platnosť dokumentu uchovávaného, ​​spracovávaného a prenášaného pomocou automatizovaných informačných a telekomunikačných systémov možno potvrdiť elektronickým digitálnym podpisom. Právna sila elektronického digitálneho podpisu je uznaná, ak automatizovaný informačný systém obsahuje softvérové ​​a hardvérové ​​nástroje zabezpečujúce identifikáciu podpisu a je dodržaný stanovený režim ich používania.
  3. Právo na osvedčenie totožnosti elektronického digitálneho podpisu sa vykonáva na základe licencie. Postup pri vydávaní licencií je určený právnymi predpismi Ruskej federácie.

Toto sú podľa nášho názoru najdôležitejšie ustanovenia zákona „o informáciách, informatizácii a ochrane informácií“ týkajúce sa chránených informácií a informačnej bezpečnosti.

    Súčasný stav informačnej bezpečnosti v Rusku

    Základné pojmy a definície z oblasti informačnej bezpečnosti.

    Zásady konštrukcie a požiadavky na systém informačnej bezpečnosti objektu.

    Postupnosť akcií pri vývoji systému na zabezpečenie informačnej bezpečnosti objektu.

VI. Medzinárodná norma "Všeobecné kritériá pre hodnotenie bezpečnosti informačných technológií"

    Postup a pokyny na zostavenie zoznamu informácií, ktoré predstavujú oficiálne alebo obchodné tajomstvo organizácie

    Problémy informačnej bezpečnosti a spôsoby ich riešenia

Ani jedna sféra života civilizovaného štátu nemôže efektívne fungovať bez rozvinutej informačnej infraštruktúry. Informačná bezpečnosť sa dostáva do popredia a stáva sa prvkom národnej bezpečnosti. Ochrana informácií by mala byť nepochybne považovaná za jednu z priorít vlády.

Transformácie prebiehajúce v Rusku majú priamy vplyv na jeho informačnú bezpečnosť. Pri hodnotení stavu informačnej bezpečnosti a identifikácii kľúčových problémov v tejto oblasti je potrebné zohľadniť nové faktory.

Celý súbor faktorov možno rozdeliť na politické, ekonomické a organizačno-technické.

TO politické faktory by mala obsahovať:

    vytvorenie novej ruskej štátnosti založenej na princípoch demokracie, zákonnosti a informačnej otvorenosti;

    zmeny geopolitickej situácie v dôsledku zásadných zmien v rôznych regiónoch sveta, čím sa minimalizuje pravdepodobnosť globálnych jadrových a konvenčných vojen;

    informačná expanzia USA a iných rozvinutých krajín, ktoré vykonávajú globálne monitorovanie svetových politických, ekonomických, vojenských, environmentálnych a iných procesov, šírenie informácií s cieľom získať jednostranné výhody;

    zničenie predtým existujúceho veliteľsko-administratívneho systému vlády, ako aj existujúceho systému zabezpečenia bezpečnosti krajiny;

    narušenie informačných spojení v dôsledku vzniku samostatných štátov na území bývalého ZSSR;

    Túžba Ruska po užšej spolupráci so zahraničím v procese reforiem založených na maximálnej otvorenosti strán;

    nízka všeobecná právna a informačná kultúra v ruskej spoločnosti.

Medzi ekonomické faktory najvýznamnejšie sú:

    Prechod Ruska na trhové vzťahy v ekonomike, vznik mnohých domácich a zahraničných obchodných štruktúr – producentov a spotrebiteľov informácií, prostriedkov informatizácie a ochrany informácií, začlenenie informačných produktov do systému tovarových vzťahov;

    kritický stav odvetví produkujúcich nástroje informatizácie a informačnej bezpečnosti;

    rozšírenie spolupráce so zahraničím pri rozvoji informačnej infraštruktúry Ruska.

Od organizačné a technické určujúce faktory sú:

    nedostatočný regulačný a právny rámec pre informačné vzťahy, a to aj v oblasti informačnej bezpečnosti;

    slabá štátna regulácia procesov fungovania a rozvoja trhu informačných technológií, informačných produktov a služieb v Rusku;

    široké využitie v oblasti verejnej správy a úverovej a finančnej sféry dovážaných technických a softvérových nástrojov na ukladanie, spracovanie a prenos informácií, ktoré nie sú chránené pred únikom informácií;

    rast objemu informácií prenášaných cez otvorené komunikačné kanály vrátane dátových sietí a výmeny medzi strojmi;

    zhoršenie kriminálnej situácie, nárast počtu počítačových trestných činov najmä v úverovej a finančnej sfére.

Hodnotenie stavu informačnej bezpečnosti a identifikácia kľúčových problémov v tejto oblasti by mala vychádzať z analýzy zdrojov hrozieb.

Zdroje ohrozenia môžeme rozdeliť na vonkajšie a vnútorné.

TOexterných zdrojov týkať sa:

    nepriateľská politika cudzích štátov v oblasti globálneho monitorovania informácií, šírenia informácií a nových informačných technológií;

    činnosť zahraničných spravodajských a špeciálnych služieb;

    aktivity zahraničných politických a ekonomických štruktúr namierené proti záujmom ruského štátu;

    trestné činy medzinárodných skupín, formácií a jednotlivcov;

    prírodné katastrofy a katastrofy.

Interné zdroje hrozby sú:

    nelegálna činnosť politických a ekonomických štruktúr v oblasti tvorby, šírenia a využívania informácií;

    protiprávne konanie vládnych orgánov vedúce k porušovaniu zákonných práv občanov a organizácií v informačnej sfére;

    porušovanie stanovených predpisov na zhromažďovanie, spracovanie a prenos informácií;

    úmyselné činy a neúmyselné chyby personálu informačných systémov;

    zlyhania hardvéru a zlyhania softvéru v informačných a telekomunikačných systémoch.

Zároveň je potrebné pochopiť, že tieto hrozby v súčasnosti nemajú špekulatívny charakter, ale zodpovedajú každej z nich účelového konania konkrétnych nositeľov nepriateľských zámerov(od cudzích spravodajských služieb až po zločinecké skupiny). V dôsledku týchto akcií môže dôjsť k vážnym škodám na životných záujmoch Ruskej federácie v politickej, hospodárskej, obrannej a inej sfére štátnej činnosti, prípadne k významným sociálno-ekonomickým škodám spoločnosti a jednotlivých občanov.