Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
189
Добавлен:
02.05.2014
Размер:
46.59 Кб
Скачать

Правовые аспекты информационной безопасности.

Отечественная нормативная правовая база в области информационной безопасности находится в стадии становления. Тем не менее, можно выделить ряд правовых документов юридически обосновывающих деятельность в области защиты информации.

Уголовный кодекс РФ.

Глава 19. Преступления против конституционных прав и свобод человека.

Нарушение неприкосновенности частной жизни.

Статья 138. Нарушение тайны переписки, телефонных разговоров и иных сообщений.

Статья 140. Отказ в предоставлении гражданину в информации.

Статья 146. Нарушение авторских прав и смежных прав.

Глава 28. Преступления в сфере компьютерной информации.

Статья 272. Неправомерный доступ к компьютерной информации.

Пункт 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на магнитном носителе в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию, либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

  • Наказывается штрафом от 200-500 минимальных размеров оплаты труда. Либо исправительными работами на срок от 6 месяцев до 1 года, либо лишением свободы до 2-х лет.

Пункт 2. То же деяние, совершённое группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

  • Наказывается штрафом от 500-800 минимальных размеров оплаты труда, либо лишением свободы до 5-ти лет.

Обязательно должен быть нанесён системе ущерб.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

  • До 5-ти месяцев.

  • Тяжкие последствия до 7-ми лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Деяние должно принести вред защищаемой информации.

  • До 2-х лет.

  • Тяжкие последствия до 4-х лет.

Гражданский кодекс от 21 октября 1994 года.

Глава 6.

Статья 139. Служебную и коммерческую тайну.

Информация составляет служебную и коммерческую тайну в случае, когда она имеет действительную ценность, коммерческой деятельности в силу неизвестности её третьими лицами. При этом к ней законного доступа на законном основании нет, и обладатель принимает меры к охране её конфиденциальности.

  • Банковская тайна.

  • Тайна страхования.

Закон о государственной тайне.

В законе устанавливается 3 степени секретности составляющих государственную тайну:

  • 1 категория. Особой важности.

  • 2 категория. Совершенно секретно.

  • 3 категория. Секретно.

Регламентирует государство.

Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, ущерб которой может нанести вред РФ.

Перечень сведений, не подлежащих засекречиванию:

  • Сведения о ЧП и катастрофах, угрожающих здоровью граждан и их последствий, а также о стихийных бедствий и их последствий, о состоянии экологии, демографии, преступности, здравоохранения, образования, культуры, сельского хозяйства.

  • О привилегиях, компенсациях и льготах.

  • О фактах нарушения прав и свобод человека и гражданина.

  • О размерах золотого запаса и размера валютного резерва РФ.

  • О состоянии здоровья высших должностных лиц.

  • О фактах нарушения законности государственной власти и должностными лицами.

Созданием средств защиты информации, а также указанием действий по защите государственной тайны осуществляются путём получения лицензии на проведение таких работ.

Федеральный закон «об информации, информатизации и защите информации»

от 20 февраля 1995 г. №24-Ф3

Информационные ресурсы делятся:

  • Государственные.

  • Не государственные.

Государственные информационные ресурсы формируются со сферами владения, как федеральные ресурсы, ресурсы объектов и совместные.

Государственные информационные ресурсы являются открытыми и общедоступными, исключение составляет документирование информации, отнесенные законом к категории ограниченного доступа.

Информация ограниченного доступа:

Информацию, отнесённую к государственной тайне и конфиденциальную.

Конфиденциальная информация – это документированная документация, доступ к которой ограничивается в соответствии с законодательством РФ.

Персональные данные о гражданах отнесены к категории конфиденциальной информации.

В отношении сведений государственной тайны режим защиты определяется законом

«о государственной тайне».

Режим защиты конфиденциальной информации определяется её собственником.

Перечень сведений конфиденциального характера:

  • Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющих идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ.

  • Сведения, составляющие тайну следствия и судопроизводства.

  • Служебные сведения в соответствии с гражданским кодексом.

  • Сведения связанные с профессиональной деятельностью, доступ к которой ограничивается конституцией (врачебной, адвокатской, нотариальной, тайна переписки, телефонных переговоров, почтовых отправлений).

  • Сведения, связанные с коммерческой деятельностью.

  • Сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации о них.

СТР – К (специальные требования и рекомендации по защите конфиденциальной информации).

Гостехкомиссия России при президенте РФ.

В 1992 году Гостехкомиссия приняла 5 руководящих документов, посвящённых защите информации:

1. Концепция защиты средств вычислительной техники (ВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации.

2. Средства ВТ организованных СВТ. Защита от несанкционированного доступа к информации, показатели защищённости от НСД.

3. АС защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации.

4. Временное положение по организации, разработке, изготовлению и эксплуатации программных и технических средств защиты информации от НСД, АС и СВТ.

5. Защита от НСД к информации, термины и определения.

6. Средства ВТ межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от НСД к информации.

Для средств ВТ устанавливается 7 классов защищённости от НСД:

  • 7 класс – не прошедшие проверку.

  • 5, 6 классы – дискреционная защита.

  • 4, 3, 2 классы – мандатная защита.

  • 1 класс – обработка любой информации (верификация доступа).

Классы защищённости АС к защите информации (9 классов, 3 группы):

  • 3 группа – один пользователь, один уровень секретности.

  • 2 группа – много пользователей, одинаковые права.

  • 1 группа – много пользователей, разные права.

Классы защищённости межсетевых экранов, устанавливается 5 классов защищённости:

  • 1 класс – самый высокий.

  • 5 класс – самый низкий.

Каждый класс характеризуется определённой совокупностью требований.

Лицензирование и сертификация.

Лицензирование – относится только к некоторой деятельности в области информационной безопасности.

Обязательному лицензированию подлежат некоторые услуги:

  • Деятельность в области государственной тайны.

  • Криптография во всех её проявлениях.

  • Разработка средств защиты.

На криптографию выдаёт ФСБ, на всё остальное Гостехкомиссия России. Лицензии выдаются конкретным юридическим лицам. Для эксплуатации лицензия не требуется. Лицензия выдаётся только на основании экспертизы. Лицензирование производится на платной основе. Отказ в выдаче лицензии должен быть мотивирован.

Сертификация – это процесс, осуществляемый в отношении товаров и услуг. Имеется перечень товаров, подлежащих сертификации. На сертификацию принимаются от заявителя, имеющего лицензию. Сертификация осуществляется в отношении технических средств. Испытания проводятся в независимых лабораториях. Центральные органы несут ответственность за выполнение. Требуется неукоснительные правила сертификации. Сертификация может быть досрочно отозвана (3-5 лет).

Дифференцированный подход к защите информации разного уровня секретности.

Общие критерии ГОСТ 15408 – 2002 (Common Criteria). Общие критерии представляют собой метастандарт, предназначенный для построения конкретных стандартов в области информационной безопасности. Стандарт представляет собой иерархически классифицированную совокупность требований по защите информации, а также требований по оценке адекватности их реализации. На основании общих критериев разрабатываются профили защиты, то есть семейство требований по обеспечению информационной безопасности для определённого класса продуктов. Требования профиля защиты конкретизируются для конкретного продукта в рамках защиты проекта. Проект защиты используется на всех этапах жизненного цикла продукции.

Соседние файлы в папке Лекции по защите информации