Правовые способы защиты информации в Росии

межсетевое  экранирование с целью управления доступом, фильтрации сетевых пакетов  и трансляции сетевых адресов  для скрытия структуры информационной системы;

обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки  к нарушению установленных требований по обеспечению безопасности персональных данных;

анализ защищенности информационных систем, предполагающий применение специализированных программных  средств (сканеров безопасности);

защита информации при ее передаче по каналам связи;

использование смарт-карт, электронных замков и  других носителей информации для  надежной идентификации и аутентификации пользователей;

использование средств антивирусной защиты;

централизованное  управление системой защиты персональных данных информационной системы.

2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).

2.6. Для обеспечения  безопасности персональных данных  при подключении информационных  систем к информационно-телекоммуникационным  сетям международного информационного  обмена (сетям связи общего пользования)  с целью получения общедоступной  информации помимо методов и  способов, указанных в пунктах  2.1 и 2.4  Положения, применяются  следующие основные методы и  способы защиты информации от  несанкционированного доступа:

фильтрация  входящих (исходящих) сетевых пакетов  по правилам, заданным оператором (уполномоченным лицом);

периодический анализ безопасности установленных  межсетевых экранов на основе имитации внешних атак на информационные системы;

активный  аудит безопасности информационной системы на предмет обнаружения  в режиме реального времени несанкционированной  сетевой активности;

анализ принимаемой  по информационно-телекоммуникационным сетям международного информационного  обмена (сетям связи общего пользования) информации, в том числе на наличие  компьютерных вирусов.

Для реализации указанных методов и способов защиты информации могут применяться  межсетевые экраны, системы обнаружения  вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.

 

2.7. Для обеспечения  безопасности персональных данных  при удаленном доступе к информационной  системе через информационно-телекоммуникационную  сеть международного информационного  обмена (сеть связи общего пользования)  помимо методов и способов, указанных  в пунктах 2.1 и 2.4 на Положения,  применяются следующие основные  методы и способы защиты информации  от несанкционированного доступа:

проверка  подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного  обмена (сети связи общего пользования) данных;

управление  доступом к защищаемым персональным данным информационной сети;

использование атрибутов безопасности.

2.8. Для обеспечения  безопасности персональных данных  при межсетевом взаимодействии  отдельных информационных систем  через информационно-телекоммуникационную  сеть международного информационного  обмена (сеть связи общего пользования)  помимо методов и способов, указанных  в пунктах 2.1 и 2.4  Положения,  применяются следующие основные  методы и способы защиты информации  от несанкционированного доступа:

создание  канала связи, обеспечивающего защиту передаваемой информации;

осуществление аутентификации взаимодействующих  информационных систем и проверка подлинности  пользователей и целостности  передаваемых данных.

2.9. Для обеспечения  безопасности персональных данных  при межсетевом взаимодействии  отдельных информационных систем  разных операторов через информационно-телекоммуникационную  сеть международного информационного  обмена (сеть связи общего пользования)  помимо методов и способов, указанных  в пунктах 2.1 и 2.4 настоящего  Положения, применяются следующие  основные методы и способы  защиты информации от несанкционированного  доступа:

создание  канала связи, обеспечивающего защиту передаваемой информации;

аутентификация  взаимодействующих информационных систем и проверка подлинности пользователей  и целостности передаваемых данных;

обеспечение предотвращения возможности отрицания  пользователем факта отправки персональных данных другому пользователю;

обеспечение предотвращения возможности отрицания  пользователем факта получения  персональных данных от другого пользователя.

2.10. Обмен  персональными данными при их  обработке в информационных системах  осуществляется по каналам связи,  защита которых обеспечивается  путем реализации соответствующих  организационных мер и (или)  применения технических средств.

2.11. Подключение  информационной системы к информационной  системе другого класса или  к информационно-телекоммуникационной  сети международного информационного  обмена (сети связи общего пользования)  осуществляется с использованием  межсетевых экранов.

2.12. Программное  обеспечение средств защиты информации, применяемых в информационных  системах 1 класса, проходит контроль  отсутствия не декларированных возможностей.

Необходимость проведения контроля отсутствия не декларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

2.13. В зависимости  от особенностей обработки персональных  данных и структуры информационных  систем могут разрабатываться  и применяться другие методы  защиты информации от несанкционированного  доступа, обеспечивающие нейтрализацию  угроз безопасности персональных  данных.

III. Методы  и способы защиты информации  от утечки по техническим каналам

3.1. Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок, определенные на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

3.2. Для исключения  утечки персональных данных за  счет побочных электромагнитных  излучений и наводок в информационных  системах 1 класса могут применяться  следующие методы и способы  защиты информации

использование технических средств в защищенном исполнении;

использование средств защиты информации, прошедших  в установленном порядке процедуру  оценки соответствия;

размещение  объектов защиты в соответствии с  предписанием на эксплуатацию;

размещение  понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;

обеспечение развязки цепей электропитания технических  средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

обеспечение электромагнитной развязки между линиями  связи и другими цепями вспомогательных  технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым  циркулирует защищаемая информация.

Методы и  способы защиты акустической (речевой) информации заключаются в реализации организационных и технических  мер для обеспечения звукоизоляции  ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание  акустической (речевой) информации при  голосовом вводе персональных данных в информационной системе или  воспроизведении информации акустическими  средствами.

Величина  звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.

3.5. Размещение  устройств вывода информации  средств вычислительной техники,  информационно-вычислительных комплексов, технических средств обработки  графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

ВЫВОД

Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Задача 2   Способы совершения преступлений в сфере компьютерной информации

Под способом совершения преступления понимается система объединенных единым замыслом действий преступника (и связанных с ним лиц) по подготовке, совершению и скрытию преступления, детерминированных объективными и субъективными факторами и сопряженных с использованием соответствующих орудий и средств.

Преступлениями  в сфере компьютерной информации являются:

Неправомерный доступ к компьютерной информации (ст.272 УК РФ);

Создание, использование  и распространение вредоносных  программ для ЭВМ (ст.273 УК РФ);

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или  их сети (ст.274 УК РФ);

Родовым объектом преступлений в сфере компьютерной информации является общественная безопасность и порядок в отношениях, связанных  с информационными процессами - процессами сбора, обработки, накопления, хранения, поиска и распространения информации, с использованием ЭВМ, их систем и  сетей. Существенно то, что предметом  данных преступлений является компьютерная информация, а не информационное оборудование, обеспечивающее информационные процессы. Правонарушения, совершенные в ходе данных процессов, не связанные с  использованием указанного оборудования, квалифицируются с помощью иных статей УК РФ, предусматривающих ответственность  за соответствующие конкретные действия.

Непосредственным  объектом данных преступных деяний является безопасность информационных систем, базирующихся на использовании ЭВМ, системе ЭВМ или их сети.

Объективная сторона компьютерных преступлений характеризуется как действием, так и бездействием. Действие (бездействие) сопряжено с нарушением прав и  интересов по поводу пользования  компьютерной информацией.

 Компьютерные  преступления имеют материальные  составы. Действие (бездействие)  должно причинить значительный  вред правам и интересам личности, общества или государства (исключением  является преступление с формальным  составом, предусмотренное ч. 1 ст.273 УК: создание, использование и распространение вредоносных программ для ЭВМ). Преступные последствия конкретизируются в законе применительно к конкретным видам компьютерных преступлений. Между деянием и последствиями обязательно должна быть установлена причинная связь.

Субъективная  сторона компьютерных преступлений характеризуется умышленной виной. В ч. 2 ст. 24 сказано, что деяние, совершенное по неосторожности признается преступлением только тогда, когда это специально предусмотрено соответствующей статьей Особенной части УК. Неосторожная форма вины названа в Особенной части лишь применительно к квалифицированным видам компьютерных преступлений, предусмотренных в ч. 2 ст. 273 и ч.2 ст. 274 УК.