Правовые методы и средства зашиты информации

 

Айтмагамбетова А., СИБ-09-1Р, КазНТУ им.К.Сатпаева(г.Алматы, РК)

Оган А., ст.преподаватель кафедры  «Вычислительная техника»  КазНТУ им.К.Сатпаева(г.Алматы, РК), atkeldi@mail.ru

  

Компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.  По результатам одного исследования около 58% опрошенных пострадали от компьютерных взломов за последний год. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66% потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов.

     От степени безопасности информационных технологий в настоящее

время зависит благополучие, а порой и жизнь многих людей. Такова плата за

усложнение и повсеместное распространение автоматизированных систем

обработки информации.

     Современная информационная система представляет собой сложную

систему, состоящую из большого числа компонентов различной степени

автономности, которые связаны между собой и обмениваются данными.

Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

     Обеспечение информационной безопасности КС  является непрерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств.

    Одним из существующих методов и средств защиты информации является организационно-правовое обеспечение информационной безопасности.

     К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации компьютерной системы для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться  компьютерная система; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности компьютерной системы.

     Основные свойства методов и средств организационной защиты:

·       Обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

·       Объединение всех используемых в компьютерных системах средств в целостный механизм защиты информации;

 

Методы и средства организационной защиты информации включают в себя:

·       Ограничение физического доступа к объектам компьютерной системы и реализация режимных мер;

·       Ограничение возможности перехвата ПЭМИН;

·       Разграничение доступа к информационным ресурсам и процессам компьютерной системы (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

·       Резервное копирование наиболее важных с точки зрения утраты массивов документов;

·       Профилактику заражения компьютерными вирусами.

     Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла компьютерной системы:

1)    На этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов – анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений – приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения – использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования – контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию – включение в состав аттестационных комиссий сертифицированных специалистов;

2)    В процессе эксплуатации КС – организация пропускного режима, определение технологии и автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.д.;

3)    Мероприятия общего характера – подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т.п.

     Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации  со стороны потребителей. В законодательстве РК позже, в законодательстве других развитых стран, появились необходимые правовые акты.

     Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Республика Казахстан:

1.     Международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском

праве;

2.     Конституция РК (ст.8 определяет  право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений).

3.     Уголовный кодекс РК ( Ст.227 устанавливает ответственность за неправомерный доступ к компьютерной информации, создание,

использование и распространение вредоносных программ для ЭВМ, за нарушение правил эксплуатации ЭВМ, систем и сетей).

4.     Закон РК «О государственных секретах»  от 02.04.04 г. № 541-II ( ст.11-15 устанавливают перечень сведений, составляющие государственные секреты; ст.18 – степени секретности сведений и грифы секретности их носителей; ст.4 – органы по защите государственных секретов; ст.35 – порядок сертификации средств защиты информации, составляющей государственные секреты);

5.     Законы РК « О лицензировании» , «О связи», «Об электронной цифровой подписи», «Об авторском праве и смежных правах», «О правовой охране программ для электронных вычислительных машин и баз данных»

     Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся

     Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести документы:

6.     ГОСТ Р 50922 – 96 «Защита информации. Основные термины и определения», ГОСТ Р 50739 – 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147 – 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.»

     Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в компьютерной системы конкретной организации. К таким  нормативным документам относятся:

7.     Приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

8.     Трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

 

 

 Литература

1.Жангисина Г.Д. Алгоритмизация  и языки программирования. А.:АТУ,

2006.-192 с.

2. П.Б.Хорев. Методы и средства защиты информации в кормпьютерных 

системах. Москва, 2007.- 256 с.