4.Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ №24-ФЗ от 2006г.
5.Закон РФ "Об электронной цифровой подписи" (ФЗ РФ №1-ФЗ от 10.01.02. Принят Гос. Думой
13.12.01)
6.Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных" (Закон РФ N 3523-1. Дата введения 23.09.92)
7.Закон РФ "Об участии в международном информационном обмене" (Федеральный Закон РФ N 85ФЗ. Принят Гос. Думой 04.07.96)
8.Закон РФ "О сертификации продукции и услуг" (Закон РФ N 5151-1. Дата введения 10.06.93. В ред. Федерального Закона N 211-ФЗ от 27.12.95)
9.Закон РФ "О банках и банковской деятельности" (Закон РФ N 395-1. Дата введения 02.12.90.В ред. Федерального закона от 03.02.96 № 17-ФЗ
10.Закон РФ «О персональных данных» 2006 г.
Ответственность за компьютерные преступления предусматривает уголовный кодекс. Статья 272: неправомерный доступ к компьютерной информации.
Статья 273: создание, использование и распространение вредоносных программ для ЭВМ. Статья 274: нарушение правил эксплуатации ЭВМ, средств связи ЭВМ или их сети.
2.3Категории информации
1.Информация с ограниченным доступом.
2.Информация без права ограничения: доступ не может быть ограничен (законы, положения, конституция).
3.Иная общедоступная информация.
4.Вредная информация, то есть не подлежащая распространению как ложная.
Информацию с ограниченным доступом можно разделить на два вида
1.Государственная, военная, экономическая, разведывательная тайны. Их распространение наносит ущерб безопасности страны.
2.Конфиденциальная информация.
Правовое регулирование института тайн в РФ.
В перечне сведений конфиденциального характера, утвержденного президентом РФ 6 марта 1996 №188, приведены следующие виды конфиденциальной информации:
Служебная тайна
Персональные данные
Тайна следствия
Коммерческая тайна
Тайна сущности изобретения до момента опубликования
Профессиональная тайна.
Банковская тайна.
Декларировано в других законах 30 видов тайн, а с учетом подзаконных актов – 40.
Вид тайны |
Краткое содержание |
Ссылка на правовой документ |
|
О фактах, событиях жизни граж- |
|
Персональные данные |
данина, позволяющая идентифи- |
Ст.2 Закона об информатизации |
|
цировать личность |
|
|
Если информация имеет действи- |
|
Служебная тайна |
тельную или коммерческую по- |
Ст.139 Гражданского кодекса |
|
тенциальную ценность |
|
Тайна усыновления |
|
Ст.139 Семейного кодекса |
Геологическая информация о |
|
Ст.27 Закона о недрах |
недрах |
|
|
|
|
13
|
Любые |
полученные налоговые |
|
||
Налоговая |
сведения о налогоплательщике за |
|
|||
исключением сведений, указ в ст. |
|
||||
|
|
||||
|
102 налогового кодекса |
|
|||
Служебная информация о |
Любая |
не являющаяся общедо- |
|
||
ступной информация об эмитен- |
Ст.31 Закона о рынке ценных бумаг |
||||
рынке ценных бумаг |
|||||
тах выпущенных ценных бумаг. |
|
||||
|
|
||||
Врачебная |
Диагноз, состояние здоровья при |
Ст. 62 Основ законодательства РФ |
|||
обследовании |
|
«Об охране здоровья граждан» |
|||
|
|
||||
|
Тайна |
переписки, |
телефонных |
|
|
Связи |
разговоров по сетям электриче- |
Ст. 32 О связи, Конституция РФ |
|||
|
ской и почтовой связи |
|
|||
Нотариальная |
Сведения в результате осуществ- |
Ст. 16 О нотариате |
|||
ления деятельности нотариусом |
|||||
|
|
||||
Адвокатская |
Сведения, полученные адвокатом |
Ст. 15,16 Положения об адвокатуре |
|||
|
|
|
|||
|
|
|
|||
|
Сведения, предоставленные жур- |
|
|||
Журналистская |
налистам на условии тайны ис- |
Ст. 41, Закон «О СМИ» |
|||
|
точниками информации |
|
|||
|
Если информация имеет действи- |
|
|||
Коммерческая |
тельную или потенциальную цен- |
Ст. 139 ГКРФ |
|||
|
ность в коммерческой сфере. |
|
|||
Банковская |
Банк гарантирует |
тайну счета, |
|
||
вклада, операции, сведений. |
|
||||
|
|
||||
Тайна страхования |
Сведения о страховании и имуще- |
|
|||
ственном положении. |
|
||||
|
|
||||
Приведенный перечень тайн может потребоваться для того, чтобы поставить перед администрацией предприятия вопрос об обеспечении соответствующей защиты информации.
Конфиденциальной считается такая коммерческая информация, разглашение которой может нанести ущерб интересам фирмы. Делится на два подвида:
1.Информация с ограниченным доступом: сведения, разглашения которых причиняет ущерб тактическим интересам, таким как срыв конкретного контакта, снижение % прибыли от сделки.
2.Секретная информация: ее разглашение наносит серьезный ущерб стратегическим интересам фирмы и может поставить под угрозу ее существование. Ее составляют сведения, ознакомление с которыми позволяет конкурентам, неразборчивым в средствах, подорвать репутацию фирмы в глазах партнеров, причинить ей значительный финансовый ущерб, привести к конфликту с государственными органами, поставить в зависимость от криминальных структур.
Определение степени конфиденциальности служебной и коммерческой информации осуществляется руководством фирмы, как правило. Однако в любом случае к такой относится:
Уставные документы фирмы;
Сводные отчеты о финансовой деятельности;
Кредитные договора с банками
Договоры купли-продажи, начиная с определенной суммы;
Сведения о перспективных рынках сбыта, источниках сырья, о выгодных партнерах;
Любая информация, предоставляемая партнерами, если за ее разглашение предусмотрены штрафные санкции.
Нормативно техническая база защиты информации в России.
В состав документов, определяющих нормативно-техническую базу ЗИ в России входят стандарты, отраслевые материалы, в частности материалы Гостехкомиссия России:
Документы Государственной технической комиссии (Гостехкомиссия) при президенте РФ
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 1992.
14
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. 1992
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности. 1992
Рабочий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.
Порядок сертификации средств защиты определяется документом «Система сертификации средств защиты информации по требованиям безопасности информации» РОСС RU.0001.01БИ00.
Перечень нормативных документов постоянно расширяется с учетом новых требований к информационной безопасности и тенденций изменения информационных технологий.
Федеральная служба по техническому и экспортному контролю разработала порядок проведения классификации информационных систем персональных данных.
Для установления единых требований по обеспечению ИБ организаций БС РФ и повышения эффективности мероприятий по поддержанию ИБ организаций банковской системы РФ был разработан и введен в действие Распоряжением Банка России от 18 ноября 2004 года № Р-609 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Россий-
ской Федерации. Общие положения». Данный стандарт получил учетный номер СТО БР ИБ БС-1.0- 2004 и опубликован в журнале «Вестник Банка России» № 68.
В настоящее время готовятся к изданию новые руководящие документы, регламентирующие требования по безопасности информации для VPN и VLAN (глобальные и локальные сети) решений. Ведутся работы по адаптации отечественной нормативной базы в области информационной безопасности к требованиям международного стандарта.
Ключевым аспектом решения проблемы безопасности информационных технологий (ИТ) является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ. Необходимо было разработать эту систему в виде международного стандарта.
История создания данного стандарта:
В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC).
В Европе в 1991г. были разработаны "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, совместно Францией, Германией, Нидерландами и Великобританией.
В Канаде в начале 1993 г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0.
В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки.
В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1.0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2.0 ОК появилась в октябре 1997 г.
В результате этих работ появился Международный стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии".
В России аналогичный стандарт подготовлен в 2001 г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий».
Данный стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ.
15