«Современные проблемы обеспечения информационной безопасности. Правовые проблемы обеспечения информационной безопасности

Правовые проблемы обеспечения информационной безопасности

Проблема обеспечения информационной безопасности является на сегодня одной из самых острых не только у нас в стране, но и в развитых странах мира. Опыт эксплуатации информационных систем и ресурсов в различных сферах жизнедеятельности показывает, что существуют различные и весьма реальные угрозы потери информации, приводящие к материальным и иным ущербам. При этом обеспечить на 100% безопасность информации практически невозможно.

Интерес к проблемам информационной безопасности определяется все возрастающей ролью информации в различных сферах жизни общества (например, экономической, политической сферах).

Проблема обеспечения информационной безопасности является одной из актуальных проблем, которая стоит перед мировым сообществом. Значительными событиями в сфере обеспечения информационной безопасности и борьбы с компьютерными преступлениями стали Международные конференции представителей государственных и коммерческих структур стран «восьмерки» по вопросам безопасности и доверия в киберпространстве, которые состоялись в 2000 году в Париже и в Берлине. На этих конференциях рассматривались такие важные вопросы: защита электронной торговли, критической инфраструктуры и повышение доверия в киберпространстве путем оценки угроз и предотвращения преступлений; улучшение способности обнаружения и идентификации преступников, использующих информационные технологии; совершенствование партнерских отношений между государственными структурами, частным сектором, пользователями в целях обеспечения безопасности и доверия в киберпространстве; а также подписание главами «восьмерки» 22 июля 2000 года Окинавской Хартии глобального информационного общества, в которой ведущие страны в очередной раз подчеркнули важность принятия всех необходимых мер, направленных на создание безопасного и свободного от преступности мирового киберпространства. Отмечена необходимость поиска эффективных политических решений таких актуальных проблем, как, например, несанкционированного доступа и компьютерных вирусов.

В соответствии с указанным документом, информационная и коммуникационная технология является одной из наиболее влиятельных и могущественных сил, которые обозначают контуры ХХІ столетия. Ее революционное влияние касается быта, образования, работы, а также способов взаимосвязи советов и гражданского общества. Как ускоритель экономического роста, данная технология обладает большим потенциалом различных социальных преобразований.

В связи с этим, в некоторых европейских государствах появилось законодательное закрепление понятия «информационная безопасность». Так в законодательстве Российской Федерации есть конкретное определение данного понятия, а именно: «под информационной безопасностью Российской Федерации понимается состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства» .

На законодательном же уровне Украины понятие «информационной безопасности» отсутствует.

Так что же такое «информационная безопасность»? Рассмотрим содержание понятия «безопасность» как таковое.

На протяжении всей истории мировой цивилизации безопасность является одной из главнейших целей и неотъемлемым слагаемым деятельности людей, социальных групп, обществ, государств и мирового сообщества. Забота о безопасности имманентно присуща каждой частице социальной структуры общества от конкретного индивида до предельно широкого объединения людей.

Термин «безопасность» означает отсутствие опасности, сохранность, надежность или положение, при котором не угрожает опасность кому-, чему-нибудь . Вопросы охраны безопасности рассматриваются и на законодательном уровне, а именно: Законы Украины «Об объектах повышенной опасности», «Об использовании ядерной энергии радиационную безопасность», «О дорожном движении», «О пожарной безопасности».

Итак, можно сделать вывод, что безопасность – это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Информация является основным объектом информационного общества и ее роль на сегодняшний день очень велика. Термин «информация» произошел от латинского слова «informatio», что означает пояснение, сообщение. Информация состоит из сообщений. Сообщение является формой представления информации.

Согласно статьи 1 закона Украины «Об информации», под информацией следует понимать документированные или публично оглашенные сведения о событиях или явлениях, которые происходят в обществе, государстве или окружающей природной среде .

Важной особенностью информации является возможность ее практически неограниченного тиражирования, распространения и преобразования форм ее фиксации .

Отсюда следует, что информационная безопасность – это состояние защищенности личности, общества, государства в информационной сфере от внутренних (источниками являются: неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур; получения криминальными структурами доступа к конфиденциальной информации; усиления влияния организованной преступности на жизнь общества; снижения степени защищенности законных интересов граждан, общества и государства; недостаточное финансирование мероприятий по обеспечению информационной безопасности; недостаточная экономическая мощь государства; критическое состояние отечественных отраслей промышленности) и внешних (деятельность иностранных разведывательных и информационных структур, направленная против интересов государства; обострение международной конкуренции за обладание информационными технологиями и ресурсами) угроз. Отметим, что информационная сфера – это сфера деятельности, которая связана с созданием, распространением, переработкой и потреблением информации .

Источники информационных опасностей подразделяются на естественные (природного происхождения) и искусственные (созданные человеком в процессе его жизнедеятельности).

Наиболее очевидными источниками информационной безопасности являются:
1) отсутствие единой государственной политики в области обеспечения информационной безопасности;
2) несовершенство нормативной правовой базы, регулирующие отношения в области обеспечения информационной безопасности, а также недостаточная правоприменительная практика;
3) недостаточный контроль за развитием информационного рынка со стороны государственных структур и общества;
4) низкий уровень информатизации государственных и коммерческих структур;
5) низкий уровень защищенности интересов физических и юридических лиц в информационной сфере;
6) сращивание государственных и коммерческих структур в области кредитно-финансовой сферы с криминальными структурами;
7) получение доступа криминальными структурами к конфиденциальной информации;
8) усиление влияния организованной преступности на жизнь общества;
9) контрабандный ввоз и незаконная продажа компьютерной техники и средств радиосвязи, получение неконтролируемой прибыли.

В качестве объектов, подлежащих защите от информационных угроз и опасностей, выделяют сознание, психику отдельного человека, социальных сообществ (коллектив, социальные группы, нации, народности, гражданское общество, государство); информационно-технические системы различного назначения и информационные потоки, связывающие все элементы в единую социальную или техническую систему .

Угрозами же безопасности информационных средств и систем могут являться:
- противоправный сбор и использование информации;
- разработка и распространение программ, нарушающих нормальное функционирование информационных систем, в том числе систем защиты информации;
- утечка информации по техническим каналам (визуально-оптические, акустические, электрические, радиотехнические, материально-вещественные );
- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций, независимо от формы собственности;
- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
- перехват информации в сетях передачи данных и на линиях связи;
- несанкционированный доступ к информации, находящейся в банках и базах данных (может быть целенаправленный и случайный);
- нарушение законных ограничений на распространение информации.

Центральным моментом применения информационных компьютерных технологий в Украине является наличие адекватного информационного законодательства. Под информационным законодательством следует понимать комплекс законов и нормативных актов, которые регламентируют правоотношения в области собирания, обработки, сохранения и использования информации . Однако, на сегодняшний день действующие законы Украины (например, законы Украины «Об информации», «О государственной тайне», «Об информационных агентствах», «О государственном реестре физических лиц плательщиков налогов и других обязательных платежей») и другие нормативные акты, которые непосредственно или косвенно связаны с этими вопросами, не охватывают весь комплекс проблем и не образуют целостной системы. Поэтому, реализация эффективных мер правового обеспечения информационной безопасности жизненно необходима для развития Украины, ведь информационное общество можно создать только в правовом государстве.

Одной из составных частей информационной безопасности является защита информации в компьютерных системах и сетях. На законодательном уровне Украины охрана информации в компьютерных системах и сетях не рассматривалась. И только в связи с принятием нового Уголовного кодекса Украины в 2001 году, компьютерная безопасность поставлена под охрану уголовного закона (раздел ХVІ УК «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей»). Однако само по себе законодательное закрепление данных моментов еще не способствует их пресечению. Как заметила по этому поводу А.А. Матвеева: «Уголовно-правовые нормы являются лишь законодательной базой, необходимым (в условиях правового государства), но не единственным условием. Основное значение состоит в их правильном и своевременном применении. В качестве главного принципа уголовной ответственности нужно признать ее неотвратимость. При этом, прежде чем рассматривать организационные и технические сложности, следует в первую очередь оценить, насколько совершенно (а, следовательно, действенно), существующее уголовное законодательство.

В итоге представляется необходимым дальнейшее усовершенствование правовой базы, особое место в системе которой занимает уголовное право, и практики ее применения. При этом в первую очередь необходимо достижение единства норм различных отраслей права, максимальное уменьшение их несбалансированности .

Обеспечение информационной безопасности не сводится лишь к принятию правовых мер, а включает в себя широкий спектр организационного, технического и иного характера (создание и совершенствование системы обеспечения информационной безопасности; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты). Поэтому, выполнение всего комплекса мероприятий возможно при наличии развитой законодательной базы и обеспечения их финансирования.

Литература:

1. Доктрина информационной безопасности Российской Федерации // Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. – М: Издательство «Юрлитинформ», 2001. – С.89.
2. Даль В. Толковый словарь живого великорусского языка. Т.1. – М., 1978. – С.67.
3. Ожегов С.И. Словарь русского языка. – М., 1986. – С.38.
4. Закон України “Про інформацію» від 02.10.1992 року // Відомості Верховної Ради – 1992. - N 48. - Ст. 650.
5. Гражданское право. Учебник. Под ред. Сергеева А.П., Толстого Ю.К. – М.: Проспект, 1997. – С.214-215.
6. Орлов П.І. Інформація та інформатизація: Нормативно-правове забезпечення: Науково-практичний посібник. – Харків: Видавництво Університету внутрішніх справ, 2000. – С.9.
7. Российская криминологическая энциклопедия. Под общей редакцией А.И. Долговой. – М.: Издательство НОРМА (Издательская группа НОРМА – ИНФРА-М), 2000. – С.67.
8. Методы и средства защиты информации: Методические указания. – К: КМУГА, 1997. – С.17.
9. Кисельов М. Про створення єдиної інформаційної системи органів юстиції України // Право України. – 1997. - №3. – С.53.
10. Матвеева А.А. Информационная безопасность и проблемы совершенствования уголовного законодательства // Уголовное право в ХХІ веке: Материалы Международной научной конференции на юридическом факультете МГУ им. М.В. Ломоносова 31 мая – 1 июня 2001 г. – М.: «ЛексЭст», 2002. – С.181-186.

Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация уменьшает степень неопределенности, неполноту знаний о лицах, предметах, событиях и т.д.

Защита информации - это процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности .

В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации.

Конфиденциальная информация - это субъективно - определяемая характеристика или свойство информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Конфиденциальная информация, которая может представлять интерес для конкурентов должна быть защищена . Сокрытие информации мотивируется не только перед страхом утечки конфиденциальных данных, но и попытки внести изменения в базы данных или рабочую документацию, что может привести не только к убыткам, но и остановить работу предприятия.

Для нормального и безопасного функционирования систем необходимо поддерживать их безопасность и целостность.

На сегодняшний день сформулировано три базовых принципа информационной безопасности , которая должна обеспечивать:

целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

конфиденциальность информации;

Компьютеры, часто объеденные в сеть, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Широкое развитие компьютерных сетей, интеграция их с информационными системами общего пользования помимо преимуществ порождает новые угрозы безопасности информации.

Причины возникновения новых угроз характеризуются :

сложностью и разновидностью, используемого программного и аппаратного обеспечения сетей;

большим числом узлов сети, участвующих в электронном обмене информацией, их территориальной распределенностью и отсутствием возможности контроля всех настроек;

доступностью информации систем внешним пользователям (клиентам, партнерам и пр.) из-за ее расположения на физически соединенных носителях.

Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным.

Электронные средства хранения даже более уязвимы, чем бумажные: размещенные на них можно и уничтожить, и скопировать, и незаметно видоизменить.

Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов, ущерб от компьютерных преступлений увеличивается на 35 процентов в год . Одной из причин является сумма денег, полученная в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов. По данным Миннесотского университета США, 93 процента компаний, лишившихся доступа к своим данным на срок более 10 дней покинули свой бизнес, причем половина из них заявила о своей несостоятельности немедленно.

Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно увеличивается. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Чем больше людей получают доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.

Компьютерным преступником может быть любой. И молодой хакер и служащий. Компьютерные преступления, совершенные служащими, составляют 70 - 80 процентов ежегодного ущерба, связанного с компьютерами.

Признаки компьютерных преступлений :

Кражи частей компьютеров;

Кражи программ;

Физическое разрушение оборудования;

Уничтожение данных или программ.

Это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено, или что не выполняются меры защиты. Они также свидетельствуют о наличии уязвимых мест, и указывают, где находится брешь в защите.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре . Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Действия, которые наносят ущерб информационной безопасности организации можно разделить на несколько категорий .

• 1. Действия, осуществляемые авторизованными пользователями
• 1.1. Целенаправленная кража уничтожение данных на рабочей станции или сервере;
• 1.2. Повреждение данных пользователем в результате неосторожных действий.
• 2. «Электронные» методы воздействия, осуществляемые хакерами
• 2.1. Несанкционированное проникновение в компьютерные сети
• 2.2. DOS - атаки

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожение данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое - то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес - процессах компании - жертвы, потерю клиентов, ущерб репутации и т.п.

3. Компьютерные вирусы - это разновидность вредоносных программ, отличительной особенностью которых является способность к размножению, повреждению или полностью уничтожению данных .

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, Интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрата данных, краже конфиденциальной информации и даже прямым хищением финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

4. Спам (англ. spam) - сообщения, массово рассылаемые людям, не давшим согласие на их получение (относится к электронным письмам) .

Электронная почта в последнее время стала главным каналом распространения вредоносных программ;

Спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;

Как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);

Вместе со спамом нередко удаляется корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям, опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.

«Естественные» угрозы

На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс - мажорные обстоятельства и т.д.

Процесс информатизации общества наряду с положительными последствиями имеет и ряд отрицательных сторон. Ежегодно возрастает количество преступлений, в которых объектом преступных посягательств является информация, а также тех, где информация в свою очередь служит средством совершения преступлений.

1. Проблемы информационной безопасности.

2. Защита информации и ее основные предметные направления.

3. Уровни и виды доступа к информации. Защита прав на доступ к информации.

4. Основные виды угроз информации в АСОД.

5. Методы защиты информации от несанкционированного доступа.

6. Классификация мер защиты информации.

7. Компьютерные вирусы и их классификация.

8. Методы борьбы с компьютерными вирусами.

Проблема компьютерной безопасности базируется на трех основных аспектах:

1. информационной безопасности;

2. безопасности самого компьютера;

3. организации безопасной работы человека с компьютерной техникой.

С точки зрения компьютерной безопасности каждое предприятие обладает своим собственным корпоративным богатством – информационным. Его нельзя спрятать, оно должно активно работать. Средства информационной безопасности должны обеспечивать содержание информации в состоянии, которое описывается тремя категориями требований: доступность, целостность, конфиденциальность . Основные составляющие информационной безопасности сформулированы в Европейских критериях («Оранжевая книга» в США, «Зеленая книга» в ФРГ, «Белая книга» в Евросоюзе и т.д.), принятых ведущими странами Европы:

· доступность информации – обеспечение готовности системы к обслуживанию поступающих к ней запросов;

· целостность информации – обеспечение существования информации в неискаженном виде;

· конфиденциальность информации – обеспечение доступа к информации только авторизованному кругу субъектов.

Защита информации (ЗИ) – комплекс мероприятий, направленных на обеспечение важнейших аспектов ИБ (целостности, доступности, конфиденциальности).

Основные предметные направления ЗИ:

1).охрана государственной тайны;

2). охрана коммерческой тайны;

3). охрана банковской тайны;

4). охрана профессиональной тайны;

5). охрана служебной тайны;

6). охрана персональных данных;

7). охрана интеллектуальной собственности.

Уровни доступа к информации с точки зрения законодательства:

1) информация без ограничения права доступа;

2) информация с ограниченным доступом;

3) информация, распространения которой наносит вред интересам общества;

4) объекты интеллектуальной собственности;

5) иная общедоступная информация.

Виды доступа к информации:

1) обязательное доведение (публикация);

2) свободный доступ;

3) предоставление информации по запросу юридических лиц;

4) предоставление информации по запросу физических лиц

Защита права на доступ к информации может осуществляться:

1) в форме, находящейся за пределами юрисдикции (самозащита своих прав и законных интересов);

2) в юрисдикционной форме:

а) в административном порядке;

б). в судебном порядке.

Основные виды угроз информации в АСОД – это преднамеренные угрозы, реализация которых заранее планируется злоумышленником для нанесения вреда:

1) угрозы несанкционированных действий со стороны людей;

2) угрозы несанкционированных действий со стороны программ, созданных людьми.

Задачи по защите информации от преднамеренных угроз:

А) преградить несанкционированный доступ к ресурсам вычислительных систем;

Б) сделать невозможным несанкционированное использование компьютерных ресурсов, если доступ к ним все же осуществлен;

В) своевременно обнаружить факт несанкционированных действий и устранить причины, а также последствия их реализации.

Методы защиты информации от несанкционированного доступа

Рисунок 10 Методы защиты информации от преднамеренного доступа при применении простых средств хранения и обработки информации

Рисунок 11 Основные методы защиты информации в вычислительных системах

Классификацию мер защиты можно представить в виде трех уровней:

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

С технологической точки зрения информация является продукцией информационных систем. Как и для всякого продукта, для информации большое значение имеет ее качество, то есть способность удовлетворять определенные информационные потребности.

Актуальность данной контрольной работы. Обеспечение информационной безопасности в современной России представляется сложным и специфическим процессом, подверженным воздействию множества внешних и внутренних факторов. Специфический характер данного процесса определяется теми политическими условиями, в которых он протекает.

Задачи данной контрольной работы:

1. Рассмотреть информационную безопасность и ее составляющие;

2. Рассмотреть проблемы информационной безопасности;

3. Изучить правовое обеспечение информационной безопасности.

Качество информации является сложным понятием, его основу составляет базовая система показателей, включающая показатели трех классов:

* класс выдачи (своевременность, актуальность, полнота, доступность и другие);

* класс обработки (достоверность, адекватность и другие);

* класс защищенности (физическая целостность, логическая целостность, безопасность).

Своевременность информации оценивается временем выдачи (получения), в течение которого информация не потеряла свою актуальность.

Актуальность информации - это степень ее соответствия текущему моменту времени. Нередко с актуальностью связывают коммерческую ценность информации. Устаревшая и потерявшая свою актуальность информация может приводить к ошибочным решениям и тем самым теряет свою практическую ценность. Полнота информации определяет достаточность данных для принятия решений или для создания новых данных на основе имеющихся. Чем полнее данные, тем проще подобрать метод, вносящий минимум погрешностей в ход информационного процесса.

Достоверность информации - это степень соответствия между получаемой и исходящей информацией.

Адекватность информации - это степень соответствия реальному объективному состоянию дела. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостаточных данных. Однако и полные, и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

Доступность информации - мера возможности получить ту или иную информацию. Отсутствие доступа к данным или отсутствие адекватных методов обработки данных приводят к одинаковому результату: информация оказывается недоступной. Одним из наиболее существенных показателей качества информации является ее безопасность.

Структура данной контрольной работы. Контрольная работа состоит из: введения, трех глав, заключения, списка использованной литературы.

I. Информационная безопасность и ее составляющие

Проблема обеспечения информационной безопасности актуальна с тех пор, как люди стали обмениваться информацией, накапливать ее и хранить. Во все времена возникала необходимость надежного сохранения наиболее важных достижений человечества с целью передачи их потомкам. Аналогично возникала необходимость обмена конфиденциальной информацией и надежной ее защиты.

С началом массового применения компьютеров проблема информационной безопасности приобрела особую остроту. С одной стороны, компьютеры стали носителями информации и, как следствие, одним из каналов ее получения, как санкционированного, так и несанкционированного. С другой стороны, компьютеры как любое техническое устройство подвержены сбоям и ошибкам, которые могут привести к потере информации. Под информационной безопасностью понимается защищенность информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. С повышением значимости и ценности информации соответственно растет и важность ее защиты. С одной стороны, информация стала товаром, и ее утрата или несвоевременное раскрытие наносит материальный ущерб. С другой стороны, информация -- это сигналы управления процессами в обществе, технике, а несанкционированное вмешательство в процессы управления может привести к катастрофическим последствиям.

информационный безопасность правовой защита

II. Проблема информационной безопасности

Проблема информационной безопасности возникла достаточно давно и имеет глубокие исторические корни. До сравнительно недавнего времени методы защиты информации были в исключительной компетенции спецслужб, обеспечивающих безопасность страны. Однако новые технологии измерения, передачи, обработки и хранения информации значительно расширили сферы деятельности людей, нуждающихся в защите информации, привели к развитию и распространению новых методов несанкционированного доступа к информации и, как следствие, к интенсивному развитию нового научного направления - «информационная безопасность». Все это связано, прежде всего, с появлением систем обработки данных на базе компьютеров, а также с бурным развитием систем передачи данных. Можно выделить некоторые причины, которые и привели к необходимости как разработки новых методов защиты информации, так и к дальнейшему развитию традиционных. Первые системы коллективного пользования ЭВМ, а затем объединение их в глобальные и локальные сети, технологии открытых систем уже на первом этапе выявили потребность в защите информации от случайных ошибок операторов, сбоев в аппаратуре, электропитании и т.п. Стремительный рост емкости внешних запоминающих устройств и высокая эффективность их использования в системах автоматизированного управления привели к созданию банков (баз) данных колоссальной емкости и высокой стоимости, одновременно создавая проблемы их защиты, как от разнообразных случайностей, так и от несанкционированного доступа. Современные информационные системы составляют техническую основу органов управления государственной власти, промышленных предприятий и научно-исследовательских организаций, учреждений кредитно-финансовой сферы, банков и т.п. Сегодня, когда компьютер прочно вошел в наш быт, мы все чаще вынуждены доверять ему свои секреты (финансовые, промышленные, медицинские и др.), и в связи с этим вопросы защиты информации приобретают всеобъемлющий характер.

Кроме чисто технических задач разработки средств защиты информации имеются нормативно-технические, организационно-правовые, юридические и другие аспекты. Основные задачи, рассматриваемые специалистами по информационной безопасности (а также публикации на эту тему), связаны с обеспечением безопасности использования глобальных и локальных сетей, с проблемами глобальной вычислительной сети Интернет, «хакерами», «вирусами» и т.п. Резюмируя сказанное, можно выделить технические, организационные и правовые меры обеспечения информационной безопасности и предотвращения компьютерных преступлений.

К техническим мерам относятся:

1. защита от несанкционированного доступа;

2. резервирование особо важных компонентов подсистем;

3. организация вычислительных сетей с перераспределением ресурсов при временном нарушении работоспособности какой-либо части сети;

4. создание устройств обнаружения и тушения пожаров;

5. создание устройств обнаружения утечек воды;

6. техническая защита от хищений, саботажа, диверсий, взрывов;

7. дублирование электропитания;

8. надежные запирающие устройства;

9. устройства сигнализации о различных опасностях.

К организационным мерам относятся:

1. надежная охрана;

2. подбор надежного персонала;

3. правильная организация работы персонала;

4. предусмотренный план восстановления работы информационного центра после сбоя;

5. организация обслуживания и контроля работы компьютерного центра лицами, не заинтересованными в сокрытии преступлений;

6. создание средств защиты информации от любых лиц, включая и руководящий персонал;

7. предусмотренные меры административной и уголовной ответственности за нарушение правил работы;

8. правильный выбор местонахождения информационного центра с дорогостоящим техническим и программным обеспечением.

К правовым мерам относятся:

1. разработка уголовных норм ответственности за компьютерные преступления;

3. усовершенствование уголовного и гражданского законодательства;

4. усовершенствование судопроизводства по компьютерным преступлениям;

5. общественный контроль за разработчиками компьютерных систем;

6. принятие ряда международных соглашений, касающихся информационной безопасности.

Это очень крупная научно-техническая проблема и, естественно, мы не можем осветить ее в полной мере и коснемся только основных понятий, определений и средств защиты, доступных пользователю, причем начнем с наиболее близкой проблемы рядового пользователя - с сохранения информации, не связанного с несанкционированным доступом.

III. Правовое обеспечение информационной безопасности

К правовым мерам обеспечения информационной безопасности относится: разработка норм, устанавливающих ответственность за компьютерные преступления; защита авторских прав программистов; совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам следует отнести также общественный контроль за разработчиками компьютерных систем и принятие соответствующих международных соглашений. До недавнего времени в Российской Федерации отсутствовала возможность эффективной борьбы с компьютерными преступлениями, так как данные преступления не могли считаться противозаконными, поскольку они не квалифицировались уголовным законодательством. До 1 января 1997 г. на уровне действующего законодательства России можно было считать удовлетворительно урегулированной лишь охрану авторских прав разработчиков программного обеспечения и, частично, защиту информации в рамках государственной тайны, но не были отражены права граждан на доступ к информации и защита информации, непосредственно связанные с компьютерными преступлениями.

Частично указанные проблемы были решены после введения в действие с 1 января 1997 г. нового Уголовного кодекса (УК), принятого Государственной Думой 24 мая 1996 г. В новом УК ответственность за компьютерные преступления устанавливают ст. ст. 272, 273 и 274. Ст. 272 нового УК устанавливает ответственность за неправомерный доступ к компьютерной информации (на машинном носителе в компьютере или сети компьютеров), если это привело либо к уничтожению, блокированию, модификации или копированию информации, либо к нарушению работы вычислительной системы. (Под блокированием понимается такое воздействие на компьютер или компьютерную систему, которое повлекло временную или постоянную невозможность выполнять какие-либо операции над информацией.)

Эта статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы или как лицо, которое приобрело право ее использования. Преступное деяние, ответственность за которое предусмотрено ст. 272, состоит в неправомерном доступе к охраняемой законом компьютерной информации, который всегда имеет характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системой защиты; незаконного применения действующих паролей или маскировки под законного пользователя для проникновения в компьютер, хищения носителей информации (при условии, что были приняты меры их охраны), если это повлекло к уничтожению или блокированию информации. (Доступ считается правомерным, если он разрешен правообладателем, собственником информации или системы.

Неправомерным является доступ, если лицо не имеет права доступа, либо имеет право на доступ, но осуществляет его с нарушением установленного порядка.) Для наступления уголовной ответственности обязательно должна существовать причинная связь между несанкционированным доступом к информации и наступлением предусмотренных ст. 272 последствий, тогда как случайное временное совпадение неправомерного доступа и сбоя в вычислительной системе, повлекшего указанные последствия, не влечет уголовной ответственности.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно, т.е. совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность указанных в законе последствий, желает и сознательно допускает их наступление или относится к ним безразлично. Следовательно, с субъективной стороны преступление по ст. 272 характеризуется наличием прямого или косвенного умысла. Мотивы и цели данного преступления могут быть самыми разными: корыстными, направленными на причинение вреда (из хулиганских, конкурентных или иных побуждений) или проверку своих профессиональных способностей, и др. Поскольку мотив и цель преступления в ст. 272 не учитываются, она может применяться к всевозможным компьютерным посягательствам. Ст. 272 УК состоит из двух частей. В первой части наиболее серьезное наказание преступника состоит в лишении свободы сроком до двух лет. Часть вторая указывает в качестве признаков, усиливающих уголовную ответственность, совершение преступления группой лиц или с использованием преступником своего служебного положения, а равно имеющим доступ к информационной системе, и допускает вынесение приговора сроком до пяти лет. При этом не имеет значения местонахождение объекта преступления (например, банка, к информации которого осуществлен неправомерный доступ в преступных целях), который может быть и зарубежным.

По уголовному законодательству субъектами компьютерных преступлений могут быть лишь лица, достигшие 16-летнего возраста. Ст. 272 УК не регулирует ситуации, когда неправомерный доступ к информации происходит по неосторожности, поскольку при расследовании обстоятельств доступа зачастую крайне трудно доказать преступный умысел. Так, при переходах по ссылкам от одного компьютера к другому в сети Интернет, связывающей миллионы компьютеров, можно легко попасть в защищаемую информационную зону какого-либо компьютера, даже не замечая этого (хотя целью могут быть и преступные посягательства). Ст. 273 УК предусматривает уголовную ответственность за создание, использование и распространение вредоносных программ для компьютеров или модификацию программного обеспечения, заведомо приводящее к несанкционированному уничтожению, блокированию, модификации, копированию информации или к нарушению работы информационных систем. Статья защищает права владельца компьютерной системы на неприкосновенность хранящейся в ней информации. Вредоносными считаются любые программы, специально разработанные для нарушения нормального функционирования других компьютерных программ.

Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены и которые определены в документации на программу. Наиболее распространенные вредоносные программы - компьютерные вирусы, логические бомбы, также программы, известные как «троянский конь». Для привлечения к ответственности по ст. необязательно наступление каких-либо нежелательных последствий для владельца информации, достаточен сам факт создания вредоносных программ или внесение изменений в уже существующие программы, заведомо приводящих к указанным в статье последствиям. Использованием программ считается их выпуск в свет, воспроизведение, распространение и другие действия по введению в оборот. Использование программ может осуществляться путем записи в память компьютера или на материальный носитель, распространения по сетям или путем иной передачи другим пользователям.

Уголовная ответственность по ст. 273 возникает уже в результате создания вредоносных программ, независимо от их фактического использования. Даже наличие исходных текстов программ является основанием для привлечения к ответственности. Исключение составляет деятельность организаций, разрабатывающих средства противодействия вредоносным программам и имеющих соответствующие лицензии. Статья состоит из двух частей, различающихся признаком отношения преступника к совершаемым действиям. Ч. 1 предусматривает преступления, совершенные умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. При этом ответственность наступает независимо от целей и мотивов посягательства, которые могут быть вполне позитивными (например, охрана личных прав граждан, борьба с техногенными опасностями, защита окружающей среды и т.п.). Максимальное наказание по первой части - лишение свободы сроком до трех лет. По ч. 2 дополнительный квалифицирующий признак - наступление тяжких последствий по неосторожности. В этом случае лицо сознает, что создает, использует или распространяет вредоносную программу или ее носители и предвидит возможность наступления серьезных последствий, но без достаточных оснований рассчитывает их предотвратить, или не предвидит этих последствий, хотя как высококвалифицированный программист мог и был обязан их предусмотреть. Поскольку последствия могут быть очень тяжкими (смерть или вред здоровью человека, опасность военной или иной катастрофы, транспортные происшествия), максимальное наказание по ч. 2 - семь лет лишения свободы. Отметим, что в законе не говорится о степени нанесенного вреда в отличие от краж, когда различаются просто кража, кража в крупном размере и кража в особо крупном размере. Здесь устанавливается лишь факт преступления, а размер ущерба влияет лишь на оценку его тяжести и меру ответственности. Наконец, ст. 274 УК устанавливает ответственность за нарушение правил эксплуатации компьютеров, компьютерных систем или сетей лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Эта статья защищает интересы владельца компьютерной системы в отношении ее правильной эксплуатации и распространяется только на локальные вычислительные сети организаций. К глобальным вычислительным сетям, например к таким, как Интернет, эта статья неприменима.

Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен режим ее правовой защиты. Между фактом нарушения правил эксплуатации и наступившим существенным вредом должна быть обязательно установлена причинная связь и полностью доказано, что наступившие вредные последствия являются результатом именно нарушения правил. Оценку нанесенного вреда устанавливает суд, исходя из обстоятельств дела, причем считается, что существенный вред менее значителен, чем тяжкие последствия.

Субъект этой статьи - лицо, в силу своих должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила. Согласно ч. 1 статьи он должен совершать свои деяния умышленно; сознавать, что нарушает правила эксплуатации; предвидеть возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желать или сознательно допускать причинение такого вреда или относиться к его наступлению безразлично. Наиболее строгое наказание в этом случае - лишение права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, или ограничение свободы на срок до двух лет. Ч. 2 ст. 274 предусматривает ответственность за те же деяния, не имевшие умысла, но повлекшие по не осторожности тяжкие последствия, например за установку инфицированной программы без антивирусной проверки, что повлекло за собой серьезные последствия (крупный финансовый ущерб, транспортные происшествия, утрата важных архивов, нарушение работы системы жизнеобеспечения в больнице и др.). Мера наказания за это преступление устанавливается судом в зависимости от наступивших последствий, максимальное наказание - лишение свободы на срок до четырех лет. Как видно, рассмотренные статьи УК не охватывают все виды компьютерных преступлений, разнообразие которых увеличивается вместе с прогрессом в области компьютерной техники и ее использованием.

Кроме того, некоторые формулировки статей допускают неоднозначное истолкование, например в определении злостного умысла. Поэтому в дальнейшем возможно пополнение и усовершенствование этих статей.

Заключение

Информационная безопасность в условиях глобализации и нарастающей открытости стран играет важнейшую роль в реализации жизненно важных интересов личности, общества и государства. Это обусловлено повсеместным созданием развитой информационной среды. Именно через информационную среду, зачастую, в современных условиях реализуются угрозы национальной безопасности Российской Федерации.

Информационная безопасность личности общества и государства может быть эффективно обеспечена лишь системой мер, имеющих целенаправленный и комплексный характер. Особое значение для формирования и реализации политики обеспечения информационной безопасности имеет грамотное использование политического инструментария. Однако в настоящее время ощущается недостаточная научная проработка вопросов, касающихся определения роли политического фактора в системе информационной безопасности, что во многом связано с транзитор-ным состоянием российского общества и потребностями переосмысления целого ряда теоретических и методологических проблем.

Информационные факторы приобретают все большее значение в политической, экономической, социальной, военной, духовной сферах жизнедеятельности российского общества, а информационная среда выступает системообразующим фактором национальной безопасности, активно влияет на состояние политической, экономической, военной, духовной и других составляющих общей системы национальной безопасности Российской Федерации. В то же время информационная сфера представляет собой самостоятельную сферу национально безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию юридических лиц и граждан.

Информационная безопасность как самостоятельная область научного познания базируется на теории безопасности, кибернетике и информатике. Основными методами изучения информационной безопасности в настоящее время чаще всего выступают наблюдение (в том числе включенное), экспертная оценка, социологические опросы общественного мнения (в том числе интервьюирование), логическое и математическое моделирование. Для выявления состояния защищенности интересов предприятий и организаций, имеющих корпоративные информационные сети, наиболее приемлем метод экспертных оценок.

Понятийный аппарат информационной безопасности составляют такие категории как: "безопасность", "национальная безопасность", "интерес", "жизненно важный интерес", "сфера жизнедеятельности", "информация", "информационное общество", "информационные ресурсы", "защита", "политика обеспечения информационной безопасности" и др.

Актуальной остается задача обеспечения национальной безопасности России при неосязаемой передаче технологий. В сферу разведок все в большей мере вовлекаются вопросы новейших технологий, финансов, торговли, ресурсов и другие экономические стороны деятельности государства, доступ к которым открывается в связи с развитием международных инте1рационных процессов, широким внедрением компьютеризации в эти сферы деятельности.

Особое место в законодательстве должны занимать правоотношения, возникающие в процессе использования компьютерных систем и сетей. Необходим государственный механизм расследования компьютерных преступлений и система подготовки кадров для следствия и судопроизводства по делам, связанным с компьютерной преступностью, противоправным использованием Internet.

В обеспечении информационной безопасности должны быть полнее задействованы ресурсы гражданского общества. Очевидно, что государство в одиночку не способно справиться в полном объеме с задачей обеспечения информационной безопасности всех субъектов информационных отношений. Если сегодня в соответствии с законом оно полностью отвечает лишь за вопросы защиты государственной тайны, то в большинстве остальных случаев при неопределенности доли государственного участия бремя обеспечения информационной безопасности ложится на плечи граждан и общества. Это отвечает конституционному принципу самозащиты своих интересов всеми способами, не запрещенными законом. Органы государственной власти должны четко определить свои полномочия, исходя из реальных возможностей и заявленных приоритетов в обеспечении информационной безопасности.

Список использованной литературы

1. Ю.И. Кудинов, Ф. Ф. Пащенко. Основы современной информатики: Учебное пособие. 2-е изд., испр. -- СПб.: Издательство «Лань», 2011. -- 256 с.: ил. -- (Учебники для вузов. Специальная литература).

2. Аверьянов Г.П., Дмитриева В.В. СОВРЕМЕННАЯ ИНФОРМАТИКА: Учебное пособие. М.: НИЯУ МИФИ, 2011. -- 436 с.

3. Таганов, Л. С. Информатика: учеб. пособие / Л. С. Таганов, А. Г. Пимонов; Кузбас. гос. техн. ун-т. - Кемерово, 2010. - 330 с.

4. Вербенко, Борис Владимирович. Дисертация на соискание ученой степени кондидата политических наук

Рассматривая вопрос о том, насколько важна для фирмы информационная безопасность и определяя бюджет на её обеспечение, необходимо четко ориентироваться в этом понятии. Только так можно наметить приоритетные направления и составить план соответствующих действий.

Информационная безопасность в сетях включает в себя широкий круг проблем. Для благополучия бизнеса информационная безопасность имеет основополагающее значение, поэтому мы рассмотрим все задачи, которые она решает, подробно.

Итак, первое направление – это обеспечение целостности данных . Сегодня вся коммерческая информация, бухгалтерские данные, финансовая отчетность, клиентские базы, договора, новаторские идеи сотрудников фирмы, планы и стратегия её развития, хранятся в локальной информационно-компьютерной сети. Далеко не всегда и не все документы дублируются на бумажных носителях, ибо объем информации очень велик. В таких условиях информационная безопасность предусматривает систему мер, которые призваны обеспечить надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Серьезный подход к данному вопросу означает, что информационная безопасность должна базироваться на профессиональном аудите всей IT - инфраструктуры фирмы. позволяет провести оценку состояния сети и оборудования, сделать анализ потенциальных угроз, выявить и вовремя устранить «слабые» места кабельной системы, серверных и рабочих станций, дисковых систем и нарушений в конфигурации оборудования. Таким образом, снижаются технические риски возможной потери информации.

К повреждению данных приводит и некорректная работа систем архивации, сетевого и прикладного ПО. Обеспечивая информационную безопасность вашей фирмы, наши сотрудники проводят тестирование программного обеспечения и проверяют его соответствие современным требованиям.

Следующая важнейшая задача - обеспечение конфиденциальности информации . Защита коммерческих секретов напрямую влияет на конкурентоспособность фирмы и её устойчивость на рынке. Здесь сталкивается с внешними и внутренними преднамеренными угрозами, направленными на хищение данных. Хакеры, промышленный шпионаж и утечка информации по вине собственных сотрудников представляют наибольшую угрозу. Соблазн продать ценную коммерческую информацию велик не только у увольняемых сотрудников, но и у тех, амбиции которых на рабочем месте неудовлетворенны. В данном случае, информационная безопасность принимает превентивные меры, направлены на контроль инсайдеров и многоступенчатую защиту серверов от хакерских атак.

Поэтому меры по противодействию несанкционированному доступу должны быть направлены на достижение двух целей:

• Cоздавать условия, когда случайные или умышленные действия, приводящие к потере данных, становятся невозможны. Информационная безопасность решает эту проблему путем создания системы аутентификации и авторизации пользователей, разделения прав доступа к информации и контроля доступа.
• Также важно создать систему, при которой сотрудники или злоумышленники не смогли бы скрыть совершенных действий. Здесь в помощь специалисту по ИБ приходит система контроля событий безопасности, аудит доступа к файлам и папкам.

Эффективными средствами защиты, как от внешних угроз, так и от внутренних, являются также: введение системы паролей пользователей, применение для особо важной информации криптографических методов защиты (шифрование), ограничение доступа в помещения, применение индивидуальных цифровых ключей и смарт-карт, использование межсетевых экранов, установка систем защиты от утечек информации через электронную почту, FTP -серверы и Интернет-мессенджеры, защита информации от копирования. При рассмотрении потенциальных угроз, мы рекомендуем своим клиентам установить контроль над исходящими информационными потоками.

В последнее время получили большое распространение такие способы взлома сетей, как распространение вредоносных компьютерных программ, выполняющих функции сбора и передачи информации (троянские программы), программ-шпионов. Для того, чтобы устранить подобные внешние риски, информационная безопасность предусматривает установку мощного антивирусного ПО и серверной защиты.

Информационная безопасность сети предполагает также защиту от атак извне, направленных на прекращение работоспособности серверов, компьютеров или компонентов сети. Речь идет о DDos -атак, попытках подбора паролей (bruteforce -атаки). Для защиты от подобных угроз информационная безопасность требует применения специального программного обеспечения – межсетевых экранов и систем проактивной защиты.

И самое главное, для чего нужна информационная безопасность – это доступность информации для легитимных пользователей . Все меры обеспечения информационной безопасности бесполезны, если они затрудняют работу легитимных пользователей или блокируют ее. Здесь на первый план выходит надежно работающая аутентификация и грамотно реализованное разделение прав пользователей.

Наша компания приложит все усилия, чтобы информационная безопасность Вашей компании была организована на уровне, делающем ее практически неуязвимой.