К организационно-административным мерам относятся охрана компьютерных систем, подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, обслуживание вычислительного центра посторонней организацией или лицами, не заинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т. п.
К инженерно-техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, обеспечение защиты от хищений и диверсий, резервное электропитание, разработку и реализацию специальных программных и аппаратных комплексов безопасности и многое другое.
компьютерный информация безопасность защита
Правовое обеспечение безопасности информации — это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации. Вопрос о правовом обеспечении безопасности информации в настоящее время активно прорабатывается как в практическом, так и в законотворческом плане.
В качестве инструментов для совершения компьютерных преступлений используются средства телекоммуникаций и вычислительной техники, программное обеспечение и интеллектуальные знания, а сферами их совершения являются не только компьютеры, глобальные и корпоративные сети (Internet/intranet), но и любые области, где используются современные высокопроизводительные средства информационных технологий, там, где обрабатываются большие объемы информации (например, статистические и финансовые институты).
В связи с этим деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки вручную или с использованием средств вычислительной техники, принятия на основе анализа информации каких-либо конкретных решений и передачи их по каналам связи.
Компьютер может выступать и как сам предмет посягательств, так и как инструмент, с помощью которого оно возможно. Если разделять два последних понятия, то термин «компьютерное преступление» как юридическая категория не имеет особого смысла. Если компьютер — только объект посягательства, то квалифицировать правонарушения можно по существующим нормам права. Если же компьютер только инструмент, то достаточен такой признак, как «применение технических средств». Возможно объединение указанных понятий, когда компьютер одновременно и инструмент, и предмет. В частности, к этой ситуации относится факт хищения машинной информации.
Если хищение информации связано с потерей материальных и финансовых ценностей, то этот факт можно квалифицировать как преступление. Также если с данным фактом связываются нарушения интересов национальной безопасности, авторства, то уголовная ответственность прямо предусмотрена в соответствии с законами РФ.
Правовое обеспечение безопасности информации любой страны содержит как международные, так и национальные правовые нормы. В нашей стране правовые или законодательные основы обеспечения безопасности компьютерных систем составляют Конституция РФ, Законы РФ, Кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.
Предметами правового регулирования являются:
- правовой режим информации защиты информации;
- правовой статус участников правоотношений в процессах информатизации;
- порядок отношений субъектов с учетом их правового статуса на различных стадиях и уровнях процесса функционирования информационных структур и систем.
Законодательство по информационной безопасности можно представить как неотъемлемую часть всей системы законов Российской Федерации, в том числе:
- конституционное законодательство, куда нормы, касающиеся вопросов информатизации, входят как составные элементы;
- общие основные законы (о собственности, недрах, земле, правах граждан, гражданстве, налогах), которые включают нормы по вопросам информатизации;
- законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам информации. Наряду с общими вопросами информационного обеспечения деятельности конкретного органа эти нормы должны устанавливать обязанность органа по формированию и актуализации систем и массивов (банков) информации;
- специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входят законы по информатизации — именно состав и содержание этих законов образуют специальное законодательство как основу правового обеспечения информатизации и защиту информации;
- подзаконные нормативные акты в области информатизации;
- правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информатизации.
До недавнего времени, а именно до 1 января 1997 года — даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ) — в России отсутствовала возможность эффективной борьбы с компьютерными преступлениями. Несмотря на явную опасность, данные посягательства не считались противозаконными, то есть о них не упоминалось в уголовном законодательстве. Хотя еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Был принят ряд законов, которые внесли правовую определенность в процесс компьютеризации нашего общества вообще и проблему компьютерной преступности, в частности, и вместе с другими правовыми актами сформировали пакет документов, охватывающий несколько сотен нормативно-правовых актов (в настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами, иногда достаточно противоречивыми).
Специальное законодательство в области информатизации представляется совокупностью законов, часть из которых уже принята, а часть находится в разработке. Непосредственно законодательство России в области защиты информации и государственных секретов начало формироваться с 1991 года и включало до 1997 года десять основных законов:
- «О средствах массовой информации» (от 27.12.91 г. № 2124—1);
- «Патентный закон РФ» (от 23.09.92 г. № 3517—1);
- «О правовой охране топологий интегральных микросхем» (от 23.09.92 г. № 3526—1);
- «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.92 г. № 3523—1);
- «Основы законодательства об Архивном фонде РФ и архивах» (от 7.07.93 г. №5341—1);
- «Об авторском праве и смежных правах» (от 9.07.93 г. № 5351—1);
- «О государственной тайне» (от21.07.93г. № 5485—1);
- «Об обязательном экземпляре документов» (от 29.12.94 г. № 77—ФЗ);
- «О связи» (от 16.02.95 г. № 15—ФЗ);
- «Об информации, информатизации и защите информации» (от20.02.95 г. № 24—ФЗ);
- «Об участии в международном информационном обмене» (от 5.06.96 г. № 85—ФЗ). Кроме этих законов, на первом этапе создания законодательства в этой области были изданы указы Президента Российской Федерации. Вот лишь некоторые из них:
- «О создании Государственной технической комиссии при Президенте Российской Федерации» (от 5.01.92 г. № 9);
- «Концепция правовой информатизации России» (от 23.04.93 г. № 477);
- «О дополнительных гарантиях прав граждан на информацию» (от 31.12.93 г. № 2334);
- «Об основах государственной политики в сфере информатизации» (от 20.01.94 г. № 170);
- «Вопросы защиты государственной тайны» (от 30.03.94 г. № 614);
- «О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации» (от 21.04.94 г. № 361);
- «Вопросы деятельности Комитета при Президенте Российской Федерации по политике информатизации» (от 17.06.94г. № 328);
- «О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации» (от 1.07.94 г. № 1390);
- «О мерах по соблюдению законности в области разработки, производства, шифрования информации» (от 3.04.95 г. № 334);
- «Перечень сведений, отнесенных к государственной тайне» (от 30.11.95 г. № 1203);
- «О мерах по упорядочиванию разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (от 9.01.96 г. № 21);
- «Перечень сведений конфиденциального характера» (от 6.03.97 г. № 188).
Среди этих законов особое место занимает базовый закон «Об информации, информатизации и защите информации», в котором заложены основы правового определения всех важнейших компонентов процесса информатизации:
- информатизации и информационных систем;
- субъектов — участников процесса;
- правоотношений производителей — потребителей информационной продукции, владельцев информации;
- обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Во всех базовых законах определены цели, объекты, понятия и правовые основы защиты информации (информационных ресурсов). Рассмотрим несколько подробнее Закон РФ «Об информации, информатизации и защите информации», который призван обеспечить соблюдение конституционного права граждан на информацию, ее открытость и доступность, получение гражданами и организациями информации о деятельности органов законодательной, исполнительной и судебной власти и другой информации, представляющей общественный и личный интерес, а также содействовать обращению информации в обществе и развитию информатизации. В нем отражены такие вопросы, как порядок документирования информации и ее включение в информационные ресурсы, право собственности на информационные ресурсы, отнесение информации (информационных ресурсов) к категориям открытого и ограниченного доступа, определение механизмов и полномочий по доступу к информации, порядок правовой защиты информации, механизмы установления ответственности за нарушения в этой сфере и другие. В законе определены основные цели защиты информации: