|
2.1. Нормативно-правовая база защиты информации
2.1.1. Роль и место правового обеспечения Разработка методов и средств защиты от промышленного шпионажа является важной составной частью общегосударственного процесса построения системы защиты информации. Значимость этого процесса определяется прежде всего глобальностью тех преобразований, которые происходят в настоящее время в политической и экономической жизни России. Дело в том, что та система защиты информационных ресурсов, которая существовала в стране до 1991 года, в силу объективных причин оказалась разрушенной. Построение же новой системы в нынешних условиях — задача сложная, кроме того она усугубляется целым рядом факторов, основными из которых являются: >· информационная и технологическая экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ; >· нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР; >• стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон; >• расширяющаяся кооперация с зарубежными странами в области развития информационной инфраструктуры России; >• низкая общая правовая и информационная культура в российском обществе; >· переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур — производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений; >· критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации; >· недостаточная нормативно-правовая база в сфере информационных отношений, в том числе в области обеспечения информационной безопасности; >· слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг в России; >· широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации; >· рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена; >• обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере. Построение четко работающей системы защиты информации, призванной, в том числе, решать и задачи противодействия промышленному шпионажу, возможно только на основе эффективного сочетания правовых, программно-технических и организационных мер. Интересно, что, по данным некоторых зарубежных исследований, удельный вес каждого из перечисленных компонентов соответственно составляет: >· правовые методы — 60 %; >• программно-технические — 30 %; >· организационные методы — 10 %. Из приведенных цифр наглядно видно, что правовые методы занимают лидирующее место по своей значимости, и именно поэтому правовое обеспечение рассматривается как приоритетное направление в политике обеспечения информационной безопасности Российской Федерации. Правовое обеспечение включает в себя: а) нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области информационной безопасности; б) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями (юридическими лицами), гражданами. Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает: >• оценку состояния действующего законодательства и разработку программы его совершенствования; >• создание организационно-правовых механизмов обеспечения информационной безопасности; >• формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности; >• разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех видов (категорий) информации; >· разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействий угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер; Исполнительная и правоприменительная деятельность предусматривает: >· разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией и нарушившим регламент информационных взаимодействий, а также совершившим правонарушения с использованием незащищенных средств информатизации; >· разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности. Вся деятельность по правовому обеспечению информационной безопасности должна строиться на основе трех фундаментальных положений права — соблюдение законности, обеспечение баланса интересов отдельных субъектов и государства, неотвратимость наказания. Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности. Обеспечение баланса интересов граждан, других субъектов информационных отношений и государства предусматривает приоритет государственных интересов как общих интересов всех субъектов. Ориентация на свободы, права и интересы граждан не принижает роль государства в обеспечении национальной безопасности в целом и в области информационной безопасности в частности.
Рис. 2.1.1. Нормативно-правовая база защиты информации Неотвратимость наказания выполняет роль важнейшего профилактического инструмента в решении вопросов правового обеспечения. Весь комплекс документов, обеспечивающих нормативно-правовую базу, формируется на двух основных иерархических уровнях (рис. 2.1.1): государственном и ведомственном. На государственном уровне формируются законы, кодексы, указы Президента и Постановления Правительства Российской Федерации, направленные на построение системы информационной безопасности и регламентирующие информационные отношения в обществе в целом. На втором уровне формируется комплекс межведомственных и внутриведомственных нормативно-методических документов, обеспечивающих функционирование системы информационной безопасности. Строго говоря, существует еще один — третий — уровень, призванный обеспечить взаимоотношения между юридическими и физическими лицами по вопросам сохранения коммерческой (негосударственной) тайны. Однако формируемые на этом уровне документы относятся уже не к нормативно-правовому обеспечению, а к организации защиты информации.
|
Промышленный шпионаж Информация Средства перехвата аудиоинформации Направленный микрофон Системы безопасности Безопасность сотовой связи Средства безопасности Сигнал Угрозы и средства защиты Сигнал тревоги Технические характеристики Информационные сигналы Действия защиты Приборы ночного видения Контроль линий связи Парольная защита Безопасность предприятия Защита информации Микрофон |