Правовое обеспечение системы защиты информации

Введение

Актуальность исследования. В настоящее время принято говорить о новом витке развития социальной формации - информационном обществе. Информация становится сегодня главным ресурсом мирового сообщества. Практически любая деятельность человека тесно связана с получением, хранением, обработкой и использованием различной информации. Современное общество широко использует преимущества компьютеризации и информатизации. Но пользователи компьютеров и компьютерных сетей должны учитывать, что компьютер может использоваться не только как мощное средство оптимизации и повышения эффективности всех видов законной деятельности, но и как средство совершения противоправных действий и уголовных преступлений.
Цель данной работы – рассмотреть правовое обеспечение системы защиты информации.
Для достижения поставленной цели необходимо решить следующие задачи:
1. Дать определение понятию информации.
2. Изучить угрозы безопасности информации.
3. Охарактеризовать правовую защиту информации.
4. Выявить проблемы и совершенствование правового обеспечения системы защиты информации.
1. Понятие и сущность информации1.1. Понятие информацииОсновное понятие всех информационных технологий - информация. Любая человеческая деятельность - это процесс сбора и обработки информации, принятия решений на ее основе и их реализации. С появлением современных компьютерных технологий информация стала действовать как один из важнейших ресурсов научно-технического прогресса.
Общение, обмен информацией присущи всем живым существам, но в особой степени - человеку. Накапливаемая и обрабатываемая с определенных позиций, информация дает новую информацию, ведет к новым знаниям.
Понятие «информация» (от лат. informatio - разъяснение, представление) имеет разное значение в зависимости от отрасли, в которой это понятие рассматривается: в науке, технике, повседневной жизни и т. д.
Обычно под информацией понимаются любые данные или что кому-либо интересное (сообщение о каких-либо событиях, о чьей-либо активности и т. д.) [2, c. 23].
В литературе можно найти большое количество определений термина «информация», отражающих разные подходы к ее толкованию:
- информация - сообщения, данные независимо от формы их представления ( Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»);
- информация - сведения об окружающем мире и происходящих в нем процессах, воспринимаемая человеком или специальным устройством (Толковый словарь русского языка Ожегова).
В «Большом энциклопедическом словаре» информация определяется как общенаучное понятие, включающее обмен информацией между людьми, человеком и автоматом, обмен сигналами в животном и растительном мире; передачу знаков от клетки к клетке, от организма к организму (генетическая информация).
Говоря о компьютерной обработке данных, под информацией понимается определенная последовательность символов или знаков (букв, чисел, закодированная графика и звуки и т. д.), которая несет смысловую нагрузку и представлена в понятной для компьютера форме.
В информатике чаще всего используется следующее определение этого термина: информация - это осознанные сведения (знания, выраженные в сигналах, сообщениях, уведомлениях и т. д.) об окружающем мире, которые являются объектом хранения, преобразования, передачи и использования.
Клод Шеннон, американский ученый, заложивший основы теории информации - науки, изучающей процессы, связанные с передачей, приемом, преобразованием и хранением информации, - рассматривает информацию как удаленную неопределенность наших знаний о чем-либо.
Вот еще несколько определений:
- информация - это сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, снижающие степень неопределенности и неполноты знаний о них (Н.В. Макарова);
- информация - это отрицание энтропии (Леон Бриллюэн);
- информация - это мера сложности конструкций (Моль);
- информация отражает разнообразие (Урсул);
- информация - это содержание процесса рефлексии (Тузов);
- информация - это вероятность выбора (Яглом) [1, c. 87].
Информацию можно разделить на типы по нескольким критериям:
Для человека информация делится в зависимости от типа рецепторов, которые ее воспринимают:
- визуальная - воспринимается органами зрения;
- слуховая - воспринимается органами слуха;
- тактильная - воспринимаются тактильными рецепторами;
- обонятельная - воспринимается обонятельными рецепторами;
- вкусовая - воспринимается вкусовыми рецепторами.
По форме представления информация делится на следующие типы:
- текстовая - которая передается в виде символов, предназначенных для обозначения лексем языка;
- числовая - в виде цифр и знаков, обозначающих математические операции;
- графическая - в виде изображений, событий, объектов, графиков;
- звуковая - устная или в виде записи, передача языковых лексем звуковым способом.
По назначению:
- массовая - содержит банальную информацию и оперирует набором концепций, понятных большинству общества;
- особая - содержит определенный набор понятий, при их использовании передается информация, которая может быть непонятна основной массой общества, но необходима и понятна в узкой социальной группе, где эта информация используется;
- персональная - совокупность информации о человеке, определяющая социальный статус и типы социальных взаимодействий внутри населения [3, c. 102].
Нам нужна информация, чтобы принимать правильные решения. Следовательно, необходимо, чтобы она обладала следующими свойствами или качественными характеристиками
1. Объективность информации. Информация объективна, если не зависит от чьего-либо мнения.
2. Достоверность. Информация считается достоверной, если она отражает истинное положение дел. Объективная информация всегда надежна, но достоверная информация может быть как объективной, так и субъективной. Неточная информация может быть вызвана следующими причинами:
1) умышленное искажение (дезинформация);
2) искажение в результате помех;
3) когда значение отдельного факта или ряда фактов недооценивается или преувеличивается (слухи, рыболовные истории).
3. Полнота информации. Информацию можно назвать полной, если ее достаточно для понимания и принятия решения. Неполная информация может привести к ошибочным выводам или решениям.
4. Актуальность (своевременность) информации - важность, существенность на текущий момент. Только своевременная информация может быть полезной. Информация может быть неактуальной по двум причинам:
1) она может быть устаревшей (прошлогодняя газета);
2) незначительная, ненужная (сообщение о том, что цены в Италии снизились на 5%).
5. Ценность (полезность или бесполезность) информации оценивается применительно к задачам, которые можно решить с ее помощью.
Самая ценная информация достаточно полезна, полная, объективная, достоверная и новая.
Самая достоверная информация не может быть новой.
6. Четкость, понятность. Информация понятна, если она изложена на языке, доступном для получателя [1, c. 90].
1.2. Угрозы безопасности информацииУгроза (в принципе) обычно означает потенциально возможный процесс (явление, событие или воздействие), который может нанести ущерб чьим-либо потребностям.
Информационная угроза - это совокупность условий и факторов, которые могут потенциально нанести вред владельцу путем раскрытия, изменения или уничтожения информации или отказа в обслуживании. Есть и другое определение: информационные угрозы - это потенциально опасные действия, которые приводят к ущербу.
В частности, угрозы могут быть классифицированы по их носителям, по целям, по причиненному ущербу, по наличию умысла, по степени подготовленности и профессионализма нарушителей, по тайне исполнения, по удаленности от объекта охрана и многие другие признаки [2, c. 44].
Классификацию угроз можно разделить на три большие группы.
В первую группу входят угрозы конфиденциальности. В переводе с латыни «конфиденциальность» означает надежность, доверие, следовательно, конфиденциально не подлежит огласке. Угроза конфиденциальности реализуется, если защищенная информация, имеющая фактическую или потенциальную ценность из-за ее неизвестности третьим лицам, становится собственностью этих лиц (одного или нескольких).
В некоторых случаях не только раскрытие содержания скрытой информации может представлять угрозу конфиденциальности, но и сам факт существования такой информации, которая стала известна. Например, секретом может быть не только содержание международного договора или финансовой операции, но и сам факт заключения такого соглашения.
Вторая группа угроз - это угрозы целостности. В отношении информации они выражаются в ее несанкционированном или непреднамеренном изменении. Однако модификация - не очень хорошее слово, так как под ним можно понимать изменение формы, а не содержания информации. Угрозы целостности информации должны означать именно угрозу изменения ее содержания.
Возникает закономерный вопрос: сколько информации нужно изменить, чтобы нарушить целостность? Это, конечно, зависит от вида информации. Если защищаемой информацией является текст, голосовая запись, музыкальное произведение, рисунок, то повреждение или искажение ее части не может привести к потере качества. Итак, естественная избыточность большинства естественных языков, на которых люди общаются друг с другом, позволяет восстановить полное содержание текста с искажением отдельных букв, слов и даже отдельных фраз.
Целостность - это не только угроза данным. Модификация компьютерной программы, которая позволяет перехватить компьютерный контроль с целью совершения шпионского ПО или деструктивных действий, также является разновидностью угрозы целостности. Нарушение целостности информации вредит двум ее прагматическим качествам - полноте и достоверности. Косвенным следствием угрозы целостности является потеря доверия к источнику или средству информации.
Третья группа угроз - это угрозы доступности. Они выражаются в том, что защищаемая информация заблокирована, то есть какое-то время недоступна ее владельцу, владельцу или пользователю. В этом случае информация сохраняется в неизменном виде и не становится собственностью третьих лиц. Блокировка информации может происходить по любой из следующих причин:
- поломка ключа или замка от сейфа, в котором хранятся носители конфиденциальной информации;
- забывчивость пользователя, приводящая к потере пароля для расшифровки электронного документа;
- повреждение служебной области данных на магнитном или оптическом диске или неисправность устройства чтения / записи данных (если повреждена часть носителя, на которой была записана защищенная информация, следует говорить об угрозах целостности).
Угроза доступности также реализуется, если информация временно заблокирована для автоматизированной информационной системы. Например, возможные последствия переключения на посторонние задачи компьютерных систем, управляющих ядерной реакцией или движением, также являются примерами угроз доступности информации [3, c. 109].
Источники угроз (непосредственный исполнитель угрозы понимается с точки зрения ее негативного воздействия на информацию):
- люди;
- технические устройства;
- модели, алгоритмы, программы;
- схемы технологической обработки;
- внешняя среда.
Предпосылки возникновения угроз:
- объективные (количественная или качественная неадекватность элементов системы) - причины, не связанные напрямую с деятельностью человека и вызывающие угрозы, носящие случайный характер;
- субъективные - причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность иностранных спецслужб, промышленный шпионаж, деятельность криминальных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
Несанкционированный доступ - получение лицами, обходящими систему безопасности с использованием программных, аппаратных и иных средств, а также в результате случайных обстоятельств доступа к информации, обрабатываемой и хранящейся на объекте.
Разглашение информации ее владельцем является умышленным или неосторожным действием должностных лиц и граждан, которым в установленном порядке работы доверена соответствующая информация, повлекшее раскрытие защищенной информации, не вызванное служебной необходимостью, а также передача такой информации по открытым техническим каналам или обработка на некатегоризированных компьютерах.
Утечка информации в общих чертах может рассматриваться как неконтролируемый и незаконный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена [2, c. 45].
2. Особенности правового обеспечения системы защиты информации2.1. Правовая защита информацииПравовая защита информации - это совокупность законодательных актов, нормативных документов, положений, инструкций, инструкций, требования которых являются обязательными в системе защиты информации. Вопрос правового обеспечения безопасности информации в настоящее время активно прорабатывается как в практическом, так и в законодательном плане.
Правовое обеспечение информационной безопасности любой страны содержит как международные, так и национальные правовые нормы. В нашей стране правовой или законодательной базой обеспечения безопасности компьютерных систем являются Конституция Российской Федерации, законы Российской Федерации, Кодексы, указы и другие нормативные акты, регулирующие отношения в сфере информации.
Субъектами правового регулирования являются:
• правовой режим защиты информации;
• правовой статус участников правоотношений в процессах информатизации;
• порядок взаимоотношений между субъектами с учетом их правового статуса на различных этапах и уровнях процесса функционирования информационных структур и систем.
Законодательство об информационной безопасности можно представить как составную часть всей системы законов Российской Федерации, в том числе:

• конституционное законодательство, в состав которого включены нормы, касающиеся вопросов информатизации;
• общие основные законы (о собственности, недрах, земле, правах граждан, гражданстве, налогах), в том числе нормы об информатизации;
• законы об организации управления отдельными структурами экономики, экономики, системы государственных органов и определение их статуса. Они включают отдельные правила по информационным вопросам. В этих нормах, помимо общих вопросов информационного обеспечения деятельности конкретного органа, должна быть установлена ​​ответственность органа за формирование и обновление систем и массивов (банков) информации;
• специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям экономики, процессам. К ним относятся законы об информатизации - именно состав и содержание этих законов формируют специальное законодательство как основу для правового обеспечения информатизации и защиты информации;
• подзаконные акты в области информатизации;
• правоохранительное законодательство Российской Федерации, содержащее нормы ответственности за правонарушения в сфере информатизации [6, c. 344].
На сегодняшний день существует четыре уровня правовой защиты информации.
Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:
- международные (всемирные) конвенции по охране промышленной собственности, защите интеллектуальной собственности, авторских прав;
- Конституция Российской Федерации (статья 23 определяет право граждан на тайну переписки, телефона, телеграфа и других сообщений, а статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом);
- Гражданский кодекс Российской Федерации (статья 139 устанавливает право на возмещение убытков от утечки незаконными способами информации, относящейся к служебной и коммерческой тайне, часть четвертая посвящена авторскому праву и патентным правам);
- Уголовный кодекс Российской Федерации (статья 272 устанавливает ответственность за незаконный доступ к компьютерной информации, статья 273 - за создание, использование и распространение вредоносных программ для компьютеров, статья 274 - за нарушение правил эксплуатации компьютеров, систем и сети);
- Федеральный закон от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;
- Федеральный закон от 21 июля 1993 г. № 5485-1 «О государственной тайне»;
- Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательной копии документов»;
- Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронных цифровых подписях» и др.
Второй уровень правового обеспечения RFI - это подзаконные акты, в которые входят указы Президента Российской Федерации и постановления Правительства Российской Федерации, а также письма Высшего Арбитражного Суда Российской Федерации и постановления пленумы Верховного Суда РФ. Примерами таких актов могут быть указы Президента Российской Федерации:
- от 6 марта 1997 г. № 188 «Об утверждении перечня конфиденциальной информации»;
- от 23 апреля 1993 г. № 477 «Концепция правовой информатизации России»;
- от 31 декабря 1993 г. № 2334 «О дополнительных гарантиях прав граждан на информацию»;
- от 20 января 1994 г. № 170 «Об основах государственной политики в области информатизации»;
- от 30 марта 1994 г. № 614 «Вопросы защиты государственной тайны»;
- от 21 апреля 1994 г. № 361 «О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации»;
Среди постановлений Правительства Российской Федерации:
- от 5 декабря 1991 г. № 35 «О перечне сведений, не составляющих коммерческую тайну»;
- от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;
- от 4 сентября 1995 г. № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к разной степени секретности»;
- от 11 апреля 2000 г. № 326 «О лицензировании отдельных видов деятельности».
Третий уровень правового обеспечения ЗИ составляют государственные стандарты (ГОСТы), руководства, нормы, методы и классификаторы, разработанные соответствующими государственными органами:
- Методический документ «Положение о сертификации объектов информатизации в соответствии с требованиями информационной безопасности» (1994 г.);
- руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации »(1997 г.);
- методический документ «Вычислительная техника. Защита от НРД к информации »(1992);
- руководящий документ «Концепция защиты компьютерной техники от НРД к информации» (1992 г.);
- Руководящий документ «Защита информации от НРД. Термины и определения» (1992 г.);
- методический документ «Вычислительная техника. Межсетевые экраны. Защита от фальсификации информации. Индикаторы защищенности от НРД к информации »(1997);
- руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение для защиты информации. Классификация по уровню контроля отсутствия незаявленных возможностей »(1999);
- методический документ «Особые требования и рекомендации по технической защите конфиденциальной информации» (2001 г.) [7].
2.2. Проблемы и совершенствование правового обеспечения системы защиты информацииАнализ нормативных правовых актов в исследуемой сфере позволяет отметить, что остается ряд проблем, требующих дополнительного законодательного регулирования и уточнения. К ним, на наш взгляд, относятся:
1. Отсутствие единообразного толкования понятийно-категориального аппарата в нормативно-правовой базе информационной безопасности на уровне федерального законодательства.
2. Отсутствие четкого подхода к пониманию содержания терминов «информационная безопасность» и «защита информации».
3. Различное нормативно-правовое толкование термина «защита информации».
Представляется, что многие из выявленных проблем в основном связаны с коллизиями или пробелами в нормативных правовых актах на федеральном уровне.
На мой взгляд, представляется целесообразным, прежде чем перейти к рассмотрению первой проблемы, обратиться к доктринальной составляющей обозначенной нами позиции.
Сразу отметим, что понятие «законодательство» трактуется двояко. В широком смысле «законодательство» - это весь комплекс нормативных правовых актов, издаваемых уполномоченными правотворческими органами, в том числе законы, принятые высшими законодательными (представительными) органами страны и органами местного самоуправления либо с прямым выражением волеизъявление народа, а также подзаконные акты (указы Президента, постановления правительства), издаваемые руководящими органами во исполнение законов.
Узкое толкование законодательства связывает с ним только законы и законодательные акты, принимаемые высшим представительным органом - парламентом. В целом система законодательства представляет собой единый комплекс действующих нормативных правовых актов государства, структурированный на составные элементы в зависимости от характера регулируемых нормативным актом отношений и его юридической силы [5, c. 198].
В зависимости от различных критериев можно выделить горизонтальные, вертикальные, федеральные и сложные системы законодательства. Здесь особое внимание следует уделить вертикальной или иерархической системе законодательства. Критерием разделения в этой системе являются различия в юридической силе и иерархии принимавших их государственных органов. В соответствии с этим разделением весь комплекс нормативных правовых актов делится на законы, издаваемые представительными органами власти или посредством референдума, регулирующие важные сферы жизни общества и имеющие высшую юридическую силу, и подзаконные акты, издаваемые во исполнение законов и не противоречите им.
Вывод однозначный: на данный момент нет четко определенного единого подхода к пониманию информационной безопасности, процесса ее обеспечения и защиты информации, различные законодательные акты имеют свою позицию по этому вопросу, а зачастую и вовсе не могут ее рассматривать. или другой правовой аспект этого вопроса.
Для Закона защита информации - это процесс, обусловленный реализацией ряда мероприятий, при этом четко определены направления их реализации. В законе говорится не только о защите информации от несанкционированного доступа, но и о защите ее от более широкого круга изменений, которым информация может подвергнуться - уничтожения, модификации, копирования и т. д. закон, в отличие от доктрины, указывает на необходимость защиты информации в контексте противоправных действий, которые могут быть с ним совершены. В Законе отдельно прописано требование соблюдать конфиденциальность доступа к информации ограниченного доступа, а также необходимость реализации права на свободный доступ к информации.
Учитывая специфику отношений, возникающих при использовании сети Интернет, необходимо принять и изменить Уголовно-процессуальный кодекс, Гражданский процессуальный кодекс Российской Федерации, а также Федеральный закон «Об информации, информатизации и защите информации».
Одним из способов борьбы с противоправными действиями, совершаемыми в Интернете, является борьба с так называемым «мелким киберхулиганством», общественная опасность от которого не так высока, но все же может причинить материальный ущерб (несанкционированный взлом пользователей страницы в социальных сетях, рассылка спама и др.). Необходимо принять соответствующие правовые нормы, регулирующие подобное «киберхулиганство», которые можно было бы закрепить в соответствующей главе Кодекса об административных правонарушениях.
Следует отметить, что совершенствование российского законодательства в информационной сфере с учетом специфики и особенностей развития информационных технологий и правоотношений, возникающих сегодня в сети Интернет, должно осуществляться путем введения целесообразных правовых ограничений, обеспечивающих эффективность правового регулирования [6, c. 346].
ЗаключениеТаким образом, правовые вопросы защиты информации довольно разнообразны, как и способы использования информации. Информация может выступать в качестве информации конфиденциального характера (коммерческая, служебная тайна, персональные данные), информации о деятельности компании, в том числе публично распространяемой (пресс-релизы, обязательная информация, информация для потребителей). Соответственно, задачи защиты информации также могут различаться: в одних случаях требуется защита от несанкционированного доступа, в других ограничивается распространение, а в третьих защита от искажения или потери.
На наш взгляд, устранение выявленных проблем возможно в процессе унификации законодательства в области информационной безопасности путем принятия нового федерального закона в исследуемой сфере либо внесения изменений в действующий Закон «Об информации, информационных технологиях и защита информации» с целью достижения единообразия в терминологической законодательной трактовке указанных понятий.
Список использованной литературы

1. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2017. - 476 c.
2. Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: Риор, 2017. - 480 c.
3. Краковский, Ю.М. Защита информации: Учебное пособие / Ю.М. Краковский. - Рн/Д: Феникс, 2015. - 416 c.
4. Конституция Российской Федерации - [электронный ресурс ].:- Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_28399/.
5. Малышев, И. С. Проблемы обеспечения информационной безопасности в открытых компьютерных системах / И. С. Малышев, А. И. Маляров // Молодой ученый. — 2015. — № 17 (97). — С. 197-199.
6. Николаев, И. А. Правовое обеспечение информационной безопасности РФ / И. А. Николаев // Молодой ученый. — 2019. — № 47 (285). — С. 344-346.
7. Правовое регулирование защиты информации в России – [электронный ресурс]:- Режим доступа: http://www.e-nigma.ru/stat/dip_1/.