1.1 Государственная политика обеспечения информационной безопасности

1.2 Ключевые проблемы информационной безопасности государства

5.1 Подсистема организационно-правовой защиты

5.2 Информация тоже имеет право…

5.3 Промышленный шпионаж и законодательство

5.4 Защита программного обеспечения авторским правом

5.5 Недостатки существующих стандартов и рекомендаций

5.6 Требования к содержанию нормативно-методических документов по ЗИ

5.8 Разработка нормативно-методической основы ЗИ

5.9 Некоторые нормативно-методические документы, необходимые для организации защиты информации

5.10 Научно-методологический базис защиты информации

5.11 Стратегическая направленность защиты информации

5.12 Инструментальный базис защиты информации

Вступ

Информацию без преувеличения можно отнести к одному из решающих ресурсов развития. Она в современном мире активно влияет на все сферы жизнедея­тельности не только отдельных государств, но и всего мирового сообщества. Однако в определенных случа­ях информация может быть использована не только во благо, но и во вред интересам личности, общества и государства. Поэтому роль информационной безопас­ности в системе национальной безопасности не толь­ко существенно возрастает, но и выходит на первый план.

Национальный информационный ресурс стал одним из главных источников экономической мощи как государства в целом, так и отдельных финансовых, на­учно-исследовательских и производственных субъектов. В этой связи необходимо сформулировать государствен­ные интересы в информационной сфере, провести оцен­ку эффективности существующей системы безопасности и наметить первоочередные меры по ее совершенство­ванию.

Государственная информационная политика долж­на предусмотреть не только права граждан, юридичес­ких лиц и государства на свободное получение, распро­странение и использование информации, но и учесть необходимость защиты государственных информаци­онных ресурсов, конфиденциальной информации и интеллектуальной собственности.

Основные положения государственной политики обеспечения информационной безопасности таковы:

1. ограничение доступа к информации есть исключение из общего принципа открытости информации осуществляется только на основе законодательства;

2. ответственность за сохранность, засекречивание рассекречивание информации персонифицируется;

3. доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

4. государство формирует нормативно-правовую баз;

5. регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационно сфере;

6. юридические и физические лица, собирающие, накапливающие и обрабатывающее персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

7. государство законными средствами обеспечивающими защиту общества от ложной, искаженной и недостоверной информации, поступающей через средства массе вой информации;

8. государство осуществляет контроль за созданием использованием средств защиты информации nocpeдством их обязательной сертификации и лицензирования деятельности в области защиты информации;

9. государство проводит протекционистскую политику, поддерживающую деятельность отечественных npоизводителей средств информатизации и защиты информации и осуществляет меры по защите внутренне! рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

10. государство способствует предоставлению гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям;

11. государство стремится к отказу от зарубежных информационных технологий для информатизации орга­нов власти и управления по мере создания конкурен­тоспособных отечественных информационных технологий и средств информатизации;

12. государство формирует программу информацион­ной безопасности, объединяющую усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности;

13. государство прилагает усилия для противодействия информационной экспансии других стран, поддержи­вает интернационализацию глобальных информацион­ных сетей и систем.

Обеспечение информационной безопасности государ­ства требует:

1. Развития научно-практических основ информаци­онной безопасности, соответствующей современной геополитической ситуации и условиям политического и социально-экономического развития государства.

2. Формирования законодательной и нормативно-пра­вовой базы обеспечения информационной безопасности, в том числе разработки реестра информационно­го ресурса, регламента информационного обмена, нормативного закрепления ответственности должнос­тных лиц и граждан за соблюдение требований информационной безопасности.

3. Разработки механизмов реализации прав граждан на информацию.

4. Формирования системы информационной безопас­ности, являющейся составной частью общей системы национальной безопасности страны.

5. Разработки современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

6. Разработки критериев и методов оценки эффективности систем и средств информационной безопасности и их сертификации.

7. Исследования форм и способов цивилизованного воздействия государства на формирование общественного сознания.

8. Комплексного исследования деятельности персона­ла информационных систем, в том числе методов по­вышения мотивации, морально-психологической ус­тойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной инфор­мацией.

Развитие научно-практических основ информационной безопасности

1. Разработка стратегии обеспечения информацион­ной безопасности страны.

2. Обоснование государственной политики в услови­ях глобализации информационных процессов, форми­рования мировых информационных сетей, стремления некоторых стран к доминированию в развитии и использовании мирового информационного простран­ства.

3. Разработка научно-практических основ формиро­вания и проведения государственной политики в обла­сти обеспечения информационной безопасности.

4. Обоснование приоритетов национальной безопас­ности, соответствующих долговременным интересам общественного развития.

Развитие законодательной и нормативно-правовой базы обеспечения информационной безопасности

Определение порядка разработки законодательных и нормативно-правовых актов, а также механизмов прак­тической реализации принятого законодательства, а именно:

Разработка нормативно-правовых и организационно-методических документов, регламентирующих:

1. деятельность в области информационной безопасно­сти органов государственной власти;

2. взаимоотношения субъектов информационной дея­тельности в части обеспечения информационной безо­пасности;

3. регулирование государством процессов функцио­нирования и развития рынка средств информации, ин­формационных продуктов и услуг;

4. информационные отношения в обществе и государ­стве в условиях рыночной экономики.

Разработка концепции информационной безопасно­сти, специальных правовых и организационных мероп­риятий, обеспечивающих сохранение и развитие ин­формационных ресурсов.

Формирование правового статуса субъектов систе­мы информационной безопасности, пользователей ин­формационных и телекоммуникационных систем; опре­деление их ответственности за обеспечение информационной безопасности процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией и нарушившим регламент ин­формационных воздействий, а также правонарушения с использованием незащищенных средств информа­ции, разработку состава правонарушений с учетом спе­цифики уголовной, гражданской, административной, дисциплинарной ответственности.

Разработка законодательных и нормативных актов, регулирующих порядок:

1. ликвидации последствий воздействий угроз инфор­мационной безопасности;

2. восстановления нарушенного права и ресурсов;

3. реализации компенсационных мер.

Совершенствование форм и методов предотвращения угроз информационной безопасности

1. Разработка нормативно-правовой базы функциони­рования системы информационной безопасности, раз­граничение полномочий органов государственной вла­сти и управления по обеспечению информационной безопасности.

2. Разработка системы мониторинга состояния инфор­мационной безопасности.

3. Разработка предложений по созданию благоприят­ных условий по выводу из критического состояния оте­чественных отраслей промышленности, производящих средства информатизации и защиты информации.

4. Анализ технико-экономических параметров отече­ственных и зарубежных программно-технических средств обеспечения информационной безопасности и выбор перспективных направлений развития отече­ственной техники.

5. Разработка системы экономических и статистичес­ких показателей, характеризующих эффективность функционирования системы обеспечения информаци­онной безопасности; исследование критериев и мето­дов оценки эффективности системы информационной безопасности.

Развитие современных методов обеспечения информационной безопасности

1. Разработка форм и способов цивилизованного воздействия государства на формирование общественно­го сознания.

2. Разработка методов комплексного исследования де­ятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциаль­ной информацией.

3. Разработка практических рекомендаций по сохранению и укреплению политической стабильности в об­ществе; обеспечению прав и свобод граждан;

4. укреплению законности и правопорядка методами информационной безопасности.

5. Формирование подходов и способов обеспечения органов государственной власти и управления, предприятий и граждан достоверной, полной и своевременной информацией.

6. Разработка основных направлений деятельности и предотвращению негативных информационных воздей­ствий на индивидуальное, групповое и общественное сознание.

7. Разработка цивилизованных, демократических форм и методов воздействия на средства массовой информа­ции.

8. Разработка механизмов развития информационных отношений в сфере предпринимательства и включения информационного ресурса в хозяйственный оборот.

9. Исследование основных путей ослабления крими­ногенной обстановки, снижения числа компьютерных преступлений, в первую очередь — в кредитно-финансовой сфере.

10. Разработка методов и практических рекомендаций по контролю за экспортом отечественных наукоемких технологий.

11. Обоснование направлений противодействия "информационному оружию".

12. Совершенствование способов контроля за персона­ лом в защищенных информационных системах.

Техническая защита информации обеспечивается применением защищенных программ и технических средств обеспечения информационной деятельности, программных и технических средств защиты информации контроля эффективности защиты, а также применением специальных инженерно-технических сооружений, средств и систем.

Средства ЗИ могут функционировать автономно или совместно с техническими средствами обеспечения информационной деятельности в виде самостоятельных устройств или встроенных в них составных элементов.

Состав средств обеспечения ЗИ, перечень их поставщиков, а также услуг по установке, монтажу, наладке и обслуживанию определяются лицами, которые владеют, пользуются и распоряжаются информацией самостоятельно или по рекомендациям специалистов по ЗИ в соответствии с нормативными документами системы ЗИ.

Предоставление услуг по ЗИ, аттестацию и сервисное обслуживание средств обеспечения ЗИ могут осуществлять юридические и физические лица, имеющие лицензию на право проведения этих работ.

Техническая защита информации (ТЗИ) предполагает наличие методик определения угроз и утечки информации и знание средств добывания (снятия) информации, а также многое другое. В дальнейшем, для упрощения изложения, под технической защитой информации на объектах ИС будем понимать именно использование технических средств.

Под технической защитой информации на объектах ИС обычно подразумевается совокупность организационно-технических мер, средств и правовых норм, призванных защищать объекты ИС от нанесения вреда.

Основные принципы информационного права

Под принципами информационного права будем понимать основные исходные положения, юридически закрепляющие объективные закономерности общественной жизни, проявляющиеся в информационной сфере. Принципы информационного права позволяют формировать это право как самостоятельную отрасль и в этой связи являются системообразующими.

Можно выделить следующие основные принципы информационного права:

Принцип информационных отношений как отношений, образующих комплексную отрасль информационного права, означает, что информационные отношения, возникающие, исходя из особенностей и юридических свойств информации и ее многофункциональности как основного объекта информационного права, обладают на этом основании спецификой, отличающей их от других общественных отношений, и составляют основу общественных отношений в информационной сфере;

Принцип информационной собственности означает, что при передаче и распространении информации как основного объекта информационного права объективно существуют особые категории субъектов информационного права (создатели, обладатели и потребители информации) и их поведение реализуется на основании информационных правомочий - права знать, обладать и применять информацию;

Принцип неотчуждаемости информации от ее создателя, обладателя и потребителя (невозможность лишить субъекта полученных знаний) означает, что механизм отчуждения информации должен заменяться механизмом добровольного отказа от определенных информационных правомочий через установление по договору прав, обязанностей и ответственности по использованию этой информации после ее передачи указанными субъектами;

Принцип комплексного регулирования отношений информационной собственности (в смысле признания информации своей собственной), означающий, что такие отношения могут регулироваться и авторским правом, и правом вещной собственности, и правом инвестиционной собственности, в зависимости от конкретных условий;

Принцип инвестиционной собственности, означающий, что механизм авторского права может быть распространен на создание любой открытой информации, представляющей для ее создателя интерес, в том числе и не относящейся к результату творчества. При этом защищаются только личные имущественные права создателя информации;

Принцип информационной вещи, основанный на двуединстве материального носителя и информации, отображенной в нем, означает, что при обращении информационных вещей объективно существуют особые категории собственников информационных вещей (собственники-создатели информационных вещей, собственники-обладатели информационных вещей и собственники-потребители информационных вещей), которые реализуют традиционные правомочия собственников, однако при обязательном соблюдении ими информационных правомочий;

Принцип типовых информационно-правовых норм означает, что такие нормы, вне зависимости от отрасли правового регулирования, обладают определенной спецификой, основанной на особенностях и юридических свойствах информации. Эта специфика выражается в том, что любая информационно-правовая норма обеспечивает регулирование отношений по поводу создания, обладания, передачи, распространения и применения информации через информационные правомочия субъектов, исходя из особенностей и функционального назначения конкретной информации.

Многофункциональность информации приводит к необходимости применять в информационном праве различные методы правового регулирования информационных отношений, в зависимости от вида информации и ее назначения в информационных процессах: создания информации, сбора, накопления и хранения информации, поиска информации, передачи и распространения информации, потребления информации.

В частности, при регулировании отношений по поводу ответственности за допущенные правонарушения в информационной сфере должны использоваться методы законодательства об административных нарушениях и уголовного права.

5.3 Промышленный шпионаж и законодательство

Многие специалисты отмечают слабость юриспруденции развитых стран в отношении защиты предприятий и фирм от промышленного шпионажа. Американский специалист по этому поводу высказался так: “Нет еще законов, обеспечивающих надлежащую защиту от похитителей секретных знаний и данных. Те, кто крадет эту ценную собственность, находятся в выгодном положении по сравнению с теми, кто крадет материальное имущество, так как первые не подпадают под действие “Национального закона о хищении имущества”. “Кроме того, — как утверждает Бержье,- промышленный шпион, как правило, рискует получить шесть месяцев тюрьмы за то, за что военный шпион был бы расстрелян, а вознаграждение промышленного шпиона в случае удачи было бы в несколько раз больше вознаграждения военного шпиона”.

К тому же западные законодательства довольно громоздки и похищение промышленного секрета трудно доказуемо. “Неадекватные законы — по словам американского юриста — ограничивают суды и дают им мало шансов в преследовании преступников, занимающихся промышленным шпионажем.” Так, в США для того, чтобы потребовать законодательной защиты в случае разглашения торгового секрета требуется доказать:

1. Что предмет, рассматриваемый как торговый секрет, является таковым фактически;

2. Право собственности на него;

3. Что действия лица, раскрывающего торговый секрет, относятся к одной из следующих категорий:

а) торговый секрет получен нечестным путем;

б) разглашение или использование торгового секрета представляет собой нарушение доверительных отношений между лицами;

в) лицо узнало секрет (в том числе и от третьего лица) и знало о том, что это секрет.

Лучше защищена запатентованная информация, хотя и здесь много слабых мест. Так, закон США предусматривает запрет на публикацию сведений в печати в течение года до подачи заявки на патентование. В других странах, как правило (кроме Франции и Голландии), простого запрета на разглашение информации хватает для того, чтобы доказать, что она секретная. Однако и здесь законодательство несовершенно.

Но ни в какое сравнение с законами развитых стран не могут идти законы (а точнее, их полное отсутствие) на территории стран СНГ. Такое положение шокирует западных бизнесменов и вызывает у них боязнь инвестирования новых технологий в СП, действующих на территории СНГ.

Коммерческой тайной не являются следующие документы и сведения:

-учредительные документы, документы, позволяющие заниматься предпринимательской или хозяйственной деятельностью или ее отдельными видами;

-информация по всем установленным формам государственной отчетности;

-данные, необходимые для проверки начисления и уплаты налогов и других обязательных платежей, сведения о численности и составе работающих, их заработной плате в целом, по профессиям и должностям, а также о наличии свободных мест;

-документы об уплате налогов и обязательных платежей;

-информация о загрязнении окружающей природной среды, не обеспечении безопасности условий труда, реализации продукции, которая приносит вред здоровью, а также о других нарушениях законодательства и размерах нанесенных при этом убытков;

-документы о платежеспособности;

-сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, союзах, объединениях и других организациях, которые занимаются предпринимательской деятельностью;

-сведения, которые в соответствии с действующим законодательством подлежат оглашению.

Указанные сведения предприятия обязаны предоставлять контролирующим органам государственной власти, и правоохранительным органам, а также другим юридическим лицам по их требованию, согласно действующему законодательству.

Говорят, что успешно проведенные акции промышленного шпионажа ведут к получению незаконных преимуществ над конкурентами. Однако следует ли считать промышленный шпионаж таким ужасным преступлением в мире рыночных отношений, где правит конкуренция и где каждый с неизбежностью становится победителем или побежденным.

“Проколы “ безопасности фирм на Западе нередки, однако руководство обычно стремится быстро замять дело, чтобы избежать огласки и не ставить под удар свою репутацию. Обычная позиция руководителя фирмы: “Со мной это никогда не случится”, — очень часто подводит его самого, его работников, клиентов и акционеров. На фирмах редко проявляют серьезное отношение к угрозам со стороны спецслужб других государств, причем спецслужб даже “дружественных” стран.

Руководство фирм игнорирует возможность шпионажа со стороны конкурентов, не интересуется методами негласного сбора информации, а безопасность до сих пор считается объектом накладных расходов и не рассматривается в качестве объекта инвестиций в защиту ценностей и ресурсов. Когда проблема все же возникает, от нее стараются отделаться одним ударом.

Политическая философия 80-х годов внесла большой вклад в разрушение лояльности, гордости и самодисциплины сотрудников фирм. Некогда сильный “корпоративный дух” сегодня сгорает в котле индивидуализма рыночных отношений. Работник, затаивший обиду на своего начальника, представляет собой наибольшую угрозу информационной безопасности, однако это в наименьшей степени осознается руководством компаний.

В наши дни размеры “информационной биржи”, где люди занимаются куплей-продажей информации, значительно расширились, причем продажа нелегально добытых сведений не является чем-то совсем необычным. О деятельности брокеров на такой бирже по понятным причинам мало что известно, но то, что описано ниже, весьма характерно для сегодняшней действительности.

Оценивая правовой аспект промышленного шпионажа, журнал International Security Revierw отмечает, что во всех странах Европейского союза нет законов, напрямую трактующих промышленный шпионаж в качестве противоправного деяния. Так, в Великобритании парламенту еще только предстоит признать промышленный шпионаж преступлением, хотя в этой стране существует с десяток законодательных актов, регулирующих те или иные стороны информационной безопасности. Однако попытки принять закон “О промышленной информации” в 1968 г. и “О злоупотреблении доверием” в 1981 г., в которых были даны определения понятий “промышленный шпионаж” и “угроза выведывания путем инсценированного интервью”, успехом не увенчались. В то же время в ряде штатов США промышленный шпионаж законодательно считается преступлением.

В январе 1993 г. за мошенничество в отношении фирмы Вritish Реtrоlеum (ВР) были задержаны и оштрафованы два преступника. В деле были замешаны одна немецкая и одна японская фирма, которые работали вместе с целью получения прибыльного контракта в Северном море. Главными фигурантами в этом деле были Жрайбар и Сорелли. Жрайбар занимался упомянутыми фирмами, а Сорелли подготавливал контракты от лица фирмы ВР.

Руководство ВР было уверено в том, что ему удалось создать надежную систему обеспечения информационной безопасности при заключении контрактов. Согласно установленному порядку, предложения участников торгов должны были подаваться в

запечатанных конвертах. Для работников был жестко разграничен доступ к информации, в соответствии со служебной необходимостью. Однако если одному из участников торгов удавалось разузнать больше, чем другим, то вся система торгов сразу же становилась скомпрометированной.

Заведенный на фирме порядок проведения торгов редко изменялся, многие процедуры не были защищены от действий нелояльных по отношению к фирме и недобросовестных сотрудников. Работники имели доступ к картотекам, оставленным на рабочих столах или в незапертых шкафах. Добытую информацию они передавали Сорелли, а тот — Жрайбару. Последний продавал ее участникам торгов.

Указанные лица попались после проведения специальной операции фирмой Sеrious Frud Оffice против “информационных брокеров” в нефтяной промышленности. Фирме ВР был нанесен ущерб в несколько миллионов фунтов стерлингов.

(International Security Revierw.- 1994/1995 .-Winter .-Р. 20-22.)

Основной движущей силой промышленного шпионажа в рыночном обществе всегда была конкуренция. Все конкурирующие между собой фирмы располагают сведениями, которые обычно бывает легко узнать из отраслевых периодических изданий, газет, в ходе обычных деловых контактов. Однако некоторые данные фирмы всегда стремятся сохранить в тайне. Это сведения, за которыми охотятся конкуренты: технологические процессы, стратегии маркетинга, результаты научно-исследовательских и опытно-конструкторских работ — обычные цели промышленного шпионажа. Именно эти сведения должны быть четко определены и надежно защищены от хищений и несанкционированного доступа. Чем больше такой информации, тем острее стоит проблема обеспечения безопасности.